25. Tätigkeitsbericht 2013/2014 25. Tätigkeitsbericht Unabhängiges Datenschutzzentrum Saarland für die Jahre 2013 und 2014 dem Landtag und der Landesregierung vorgelegt am 22. April 2015 (Landtagsdrucksache 15/1320) Unabhängiges Datenschutzzentrum Saarland Fritz-Dobisch-Straße 12 . 66111 Saarbrücken Postfach 102631 . 66026 Saarbrücken Tel.: 0681/94781-0 . Fax: 0681/94781-29 E-Mail: poststelle@datenschutz.saarland.de Internet: www.datenschutz.saarland.de www.informationsfreiheit.saarland.de 2 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Vorwort Der Berichtszeitraum des 25. Tätigkeitsberichts der Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland erstreckt sich über die Jahre 2013 und 2014. War der 24. Tätigkeitsbericht von der Zusammenlegung des öffentlichen und des nicht-öffentlichen Bereichs geprägt, so sorgt jetzt die immer weiter fortschreitende Digitalisierung unseres Alltags für neue Fragestellungen und Herausforderungen im Datenschutz. Die Beschwerden über Videokameras haben sich im Berichtszeitraum exorbitant gegenüber früheren Jahren erhöht. Fast täglich gibt es Eingaben wegen Kameras in Geschäften, Restaurants, Diskotheken, an Gebäuden, an Kapellen aber auch an Arbeitsplätzen oder im Wald. Der Versuch, sich mit günstiger Technik eine wie auch immer geartete verbesserte Rechtsposition zu verschaffen, lässt oft jeglichen Skrupel vor Überwachung der Mitarbeiter oder der Gäste schwinden. Dementsprechend ist auch die Anzahl der Bußgeldverfahren steigend. Im Berichtszeitraum sind wir erfreulicherweise auch immer öfter von öffentlichen Stellen frühzeitig in Gesetzgebungs- und andere Verfahren eingebunden worden. Dies erleichtert nicht nur die Arbeit, sondern macht auch eine frühzeitige Steuerung möglich. In das Jahr 2014 fällt aber auch die Verabschiedung der neuen europäischen Datenschutz-Grundverordnung durch das europäische Parlament und die weitere Auseinandersetzung mit diesem Thema in der Kommission und im Ministerrat der EU. Eine abschließende Entscheidung wird Ende 2015 erwartet. Der Europäische Gerichtshof in Luxemburg hat durch seine Gerichtsentscheidungen zur Vorratsdatenspeicherung, zum Löschungsanspruch in Suchmaschinen und zur Anwendung des Datenschutzrechtes bei privater Videoüberwachung den Datenschutz wesentlich mitgeprägt und in Europa gestärkt. Schließlich haben die Enthüllungen von Edward Snowden in den vergangen zwei Jahren nicht nur eine neue Diskussion über die Frage des Schutzes der Privatsphäre angestoßen, sondern sie markieren auch einen Umbruch im Denken und Handeln mit unseren persönlichen Daten. Jetzt im zweiten Jahr nach Snowden wird von vielen die Notwendigkeit von neuen Sicherheitstechnologien anerkannt und nach vorne getrieben. Datensammlungen in Facebook, Twitter und Google-Diensten werden mehr denn je zu Informationen über menschliches Verhalten und damit auch zu einem großen Wirtschaftsfaktor. In der Folge haben es erfreulicherweise auch Datenschutzthemen vom Feuilleton- und IT-Thema in die Wirtschaftsteile der großen Tageszeitungen geschafft. Datenschutz und Datensicherheit sind alltagstauglich geworden. Notwendig für die digitale Zukunft ist nun eine Technik, die den Datenschutz per se berücksichtigt und den Menschen einfache Mittel an die Hand gibt sich zu schützen. Beim Unabhängigen Datenschutzzentrum 3 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht hat dies zu einer Neugestaltung der Homepage geführt, verbunden mit einem sicheren Zugang zur Dienststelle. Wir hoffen, dass dieser Bericht informiert, aber auch sensibilisiert und den Datenschutz weiter vorantreibt. Saarbrücken, im April 2015 Judith Thieser Die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland 4 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Inhaltsverzeichnis Vorwort ........................................................................................................... 3 1 Einführung.......................................................................................... 9 2 Internationaler Datenverkehr ................................................... 12 2.1 2.2 2.3 2.4 2.5 Safe Harbor....................................................................................................................12 Standardvertragsklauseln.........................................................................................13 Gemeinsame Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013 ........................................................13 Binding Corporate Rules (BCR) ..............................................................................15 Zwei-Stufen-Prüfung .................................................................................................15 3 Europäischer Datenschutz ......................................................... 17 3.1 3.2 EU-Datenschutz-Grundverordnung .....................................................................17 Entscheidungen des EuGH im Berichtszeitraum .............................................19 4 Technisch-organisatorischer Datenschutz .......................... 24 4.1 4.2 4.3 4.4 4.5 Datenschutz in Smartphone-Apps .......................................................................24 Verbindungsverschlüsselung bei Webauftritten .............................................26 Reichweitenanalyse auf Webseiten öffentlicher Stellen ...............................28 Cloud Computing – technische und organisatorische Aspekte ................30 Datenschutzfreundlichere Browsereinstellungen ...........................................36 5 Verfassungsschutz ........................................................................ 39 5.1 Änderung des Saarländischen Verfassungsschutzgesetzes ........................39 6 Justiz ................................................................................................... 43 6.1 6.2 6.5 Saarländisches Strafvollzugsgesetz ......................................................................43 Verordnung über die elektronische Aktenführung in Bußgeldverfahren ........................................................................................................44 Einführung eines bundesweiten Vollstreckungsportals................................44 Fortlaufender Bezug von Vollabdrucken aus dem Schuldnerverzeichnis .................................................................................................46 Tätigwerden einer Hilfsperson im Schiedsverfahren .....................................48 7 Polizei ................................................................................................. 50 7.1 7.2 7.3 7.4 7.5 Gesetz zur Änderung des Polizeirechts ..............................................................50 Antiterrordatei (ATD) .................................................................................................51 Einsatz von Videotechnik .........................................................................................55 Auskunftserteilung nach § 40 SPolG ....................................................................57 Abfrage und Übermittlung von POLIS-Daten in einem Beamtenrechtsstreit ...................................................................................................58 8 Steuern .............................................................................................. 61 8.1 8.2 Staatsvertrag zwischen den Ländern Rheinland-Pfalz und Saarland ......61 Service-Center der Finanzämter ............................................................................61 6.3 6.4 5 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 8.3 8.4 Erstellen von Abgabebescheiden durch Externe .............................................63 Kontrollmitteilungen der Volkshochschulen an die Finanzbehörden .....64 9 Meldewesen .................................................................................... 65 9.1 9.2 Neuregelung des Meldewesens ............................................................................65 Anpassung des saarländischen Melderechts an das Bundesmeldegesetz ...................................................................................................66 10 Kommunales ................................................................................... 69 10.1 10.2 10.3 10.6 Erstellung eines qualifizierten Mietspiegels ......................................................69 Einsatz von Smartphones als Dienstgeräte .......................................................70 Nutzung dienstlicher Unterlagen durch einen Hilfspolizeibeamten für private Zwecke ......................................................................................................72 Veröffentlichung nicht-öffentlicher Dokumente im Bürgerinformationssystem ......................................................................................74 Übermittlung personenbezogener Daten aus dem Gewerberegister an natürliche Personen .............................................................................................74 Aushang zu Sitzungsterminen des Kreisrechtsausschusses ........................75 11 Wahlen............................................................................................... 77 11.1 11.2 11.3 Änderung des Kommunalwahlgesetzes (KWG) ...............................................77 Wahlstatistik ..................................................................................................................78 Einsatz der Software PC-Wahl zur Durchführung von Wahlen..................78 12 Öffentliche Wirtschaft ................................................................. 80 12.1 12.2 12.3 Vergabeplattform des Landesamtes für Zentrale Dienste ...........................80 Energieversorger und Mieterdaten ......................................................................80 Erhebung von Kundendaten durch eine Sparkasse .......................................81 13 Soziales .............................................................................................. 83 13.1 13.2 13.3 13.4 13.5 Ärztliches Attest für Tagesmütter .........................................................................83 Runder Tisch zur Vermeidung von Stromsperren ..........................................84 Vorlage des Fahrzeugscheines bei Beantragung von Hartz-IVLeistungen......................................................................................................................85 Weitergabe von Sozialdaten an Einbürgerungsbehörde .............................85 Zustimmung zur Einholung von Bankauskünften ...........................................86 14 Gesundheit ....................................................................................... 88 14.1 14.2 14.3 Einführung des klinisch-epidemiologischen Krebsregisters im Saarland ..........................................................................................................................88 Einschulungsfragebogen ..........................................................................................89 Transport von Krankenakten in offenen Behältern ........................................90 15 Schule und Bildung ...................................................................... 93 15.1 15.2 1. Saarländischer Medientag "Neue Chancen für neues Lernen!?" ..........93 Schulworkshops „Mit Datenschützern lernen“ .................................................93 16 Forschung ......................................................................................... 96 16.1 Vigilanz-Test bei Verdacht auf Drogenkonsum...............................................96 10.4 10.5 6 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 17 Beschäftigtendatenschutz ......................................................... 98 17.1 17.2 Beschäftigtendatenschutz im öffentlichen Bereich ........................................98 Beschäftigtendatenschutz im nicht-öffentlichen Bereich ............................99 18 Ordnungswidrigkeitsverfahren ............................................. 101 18.1 18.2 18.3 18.4 18.5 Übersicht ..................................................................................................................... 101 Videoüberwachung beim Pizza-Lieferdienst ................................................. 101 Darlehensabfrage über den Mieter ................................................................... 102 Bürgerbeschwerde im kommunalen Amtsblatt veröffentlicht ................ 103 Eigene Ermittlungen des Amtsleiters ................................................................ 103 19 Videoüberwachung ................................................................... 105 19.1 19.2 19.3 19.4 Einführung in die Thematik .................................................................................. 105 Videoüberwachung im Beschäftigungsverhältnis........................................ 105 Videoüberwachung in der industriellen Produktion ................................... 106 Videoüberwachung während einer Prüfung in der Universität des Saarlandes ................................................................................................................... 107 19.5 Datenschutzrechtliche Bedingungen für den Einsatz mobiler Videokameras ............................................................................................................ 108 19.6 Voraussetzungen für die Herausgabe von Aufzeichnungen durch den Betreiber einer Videoüberwachungsmaßnahme ................................. 116 19.7 Videoüberwachung durch den Inhaber eines Gastronomiebetriebs.... 118 19.8 Datenschutzrechtliche Bewertung von Kameras in einer Apotheke ..... 120 19.9 Prüfungsaktion: Videoüberwachung in Clubs und Diskotheken............ 124 19.10 Kameraeinsatz bei der Bewirtschaftung von Parkflächen ......................... 126 19.11 Wildkameras............................................................................................................... 128 20 Handel und Gewerbe................................................................ 131 20.1 20.4 Aufsichtsbehördliche Anordnung der Bestellung eines Beauftragten für den Datenschutz .................................................................... 131 Umgang mit Kundendaten in Franchisesystemen ....................................... 134 Fallstricke bei der Nutzung personenbezogener Daten für Werbezwecke............................................................................................................. 137 Abfotografieren von Schülerfahrausweisen ................................................... 141 21 Auskunfteien ................................................................................ 143 21.1 Allgemeines Anfragerecht bei Auskunfteien ................................................. 143 22 Umwelt ........................................................................................... 145 22.1 Katasterverwaltung: Ablösung von Altverfahren durch ALKIS ................ 145 23 Versicherungen ........................................................................... 147 23.1 23.2 Einwilligungs- und Schweigepflichtentbindung in der Versicherungswirtschaft......................................................................................... 147 Informationsweitergabe durch eine Versicherung an die Polizei .......... 148 24 Sonstiges ....................................................................................... 150 24.1 Strafantrag wegen Amtsanmaßung gegen einen selbstständigen Datenschutzbeauftragten ..................................................................................... 150 25 Aus der Dienststelle .................................................................. 152 20.2 20.3 7 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 25.1 25.2 25.3 Zusammenarbeit mit dem Landtag ................................................................... 152 Zusammenarbeit mit anderen Stellen .............................................................. 153 Öffentlichkeitsarbeit ................................................................................................ 160 26 Beschlüsse des Düsseldorfer Kreises .................................. 163 26.1 26.2 26.3 Videoüberwachung in und an Taxis .................................................................. 163 Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen .. 164 Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“................................................................................................... 165 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden .......................... 165 Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sog. Dashcams) ........................................................................................................ 167 Smartes Fernsehen nur mit smartem Datenschutz ..................................... 168 26.4 26.5 26.6 27 Internationale Konferenz der Datenschutzbeauftragten................................................................................. 170 27.1 27.2 Entschließung zu Big Data .................................................................................... 170 Erklärung zum Internet der Dinge ..................................................................... 172 28 Informationsfreiheitsgesetz ................................................... 177 28.1 28.2 28.3 28.4 Informationszugang zu Akten des Ministeriums der Justiz ..................... 177 Informationszugang zu einem Erschließungsvertrag ................................. 178 Anspruch auf Akteneinsicht in Disziplinarverfahren ................................... 179 Informationszugang zu Telefonlisten ............................................................... 180 29 Entschließungen der IFK .......................................................... 182 29.1 Für einen effektiven presserechtlichen Auskunftsanspruch gegenüber allen Behörden – auch des Bundes ............................................ 182 29.2 Open Data stärkt die Informationsfreiheit – sie ist eine Investition in die Zukunft! ........................................................................................................... 182 29.3 Transparenz bei Sicherheitsbehörden .............................................................. 183 29.4 Verbraucher durch mehr Transparenz im Lebensmittelbereich schützen – Veröffentlichungspflichten für Hygieneverstöße jetzt nachbessern! .............................................................................................................. 183 29.5 Forderungen für die neue Legislaturperiode: Informationsrechte der Bürgerinnen und Bürger stärken!............................................................... 184 29.6 Das Urheberrecht dient nicht der Geheimhaltung! ..................................... 186 29.7 Keine Flucht vor der Informationsfreiheit ins Privatrecht! ........................ 186 29.8 Informationsfreiheit nicht Privaten überlassen ............................................. 187 29.9 Mehr Transparenz bei technischen Ermittlungsmethoden – Vertrauen in den Rechtsstaat stärken! ............................................................. 188 29.10 Open Data muss in Deutschland Standard werden!................................... 189 29.11 Umfassende und effektive Informationsfreiheitsaufsicht unabdingbar! ............................................................................................................. 190 30 Stichwortverzeichnis ................................................................. 191 8 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 1 Einführung Der vorliegende Tätigkeitsbericht beschäftigt sich neben Themen wie der Neuordnung des Europäischen Datenschutzrechtsrahmens und etwa der Videoüberwachung im Saarland auch mit zahlreichen Beiträgen zur Gesetzgebung, zu Bürgerbeschwerden und zu Prüfungen bei saarländischen öffentlichen Stellen und privaten Betrieben und zur technischen Sicherheit bei der Datenübertragung. Die Europäische Kommission veröffentlichte im Januar 2012 ihren ersten Entwurf zur Neuordnung des Europäischen Datenschutzrechtsrahmens. Hierüber haben wir bereits im 24. Tätigkeitsbericht berichtet. In den vergangenen zwei Jahren hat sich das Europäische Parlament umfassend mit dieser Verordnung auseinandergesetzt und die Neuregelung einstimmig im Sommer 2014 verabschiedet. Zwischenzeitlich berät der Ministerrat der EU die Datenschutzgrundverordnung und es wird damit gerechnet, dass eine abschließende Stellungnahme bis Sommer 2015 vorliegt. Danach wird sich der Trilog anschließen, eine Art Vermittlungsausschuss zwischen den drei Organisationen der EU, der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union. Dieser wird voraussichtlich einen Zeitraum von einem halben Jahr benötigen. Eine dort erzielte Einigung muss dann vom Parlament bestätigt werden. Danach kann dann die Verordnung mit einer Übergangsfrist von voraussichtlich zwei Jahren geltendes Recht werden. Im Berichtszeitraum hat der Europäische Gerichtshof (EuGH) ganz wesentliche und weitreichende Entscheidungen im Datenschutz getroffen. So hat er in der Entscheidung vom 8. April 2014 die Richtlinie über die Vorratsdatenspeicherung von Telekommunikationsdaten für ungültig erklärt. Das Gericht hat festgestellt, dass das anlasslose und massenhafte Speichern „ohne irgendeine Differenzierung, Einschränkung oder Ausnahme“ gegen die in der Grundrechtcharta verankerten Persönlichkeitsrechte verstößt und Eingriffe in dieses Recht selbst beim Kampf gegen schwere Straftaten auf das „absolut Notwendige“ zu beschränken sind. In einer weiteren Entscheidung vom 13. Mai 2014 hat der EuGH dann das „Recht auf Vergessen“ im Internet festgeschrieben. Dabei geht es um das Recht, einen in einer Suchmaschine erscheinenden Link unter bestimmten Voraussetzungen löschen zu lassen, selbst wenn die zugrunde liegenden Tatsachen auf einer Homepage rechtmäßig veröffentlicht werden. Diese – rechtmäßig veröffentlichten - Daten müssen nicht gelöscht werden, sondern nur der Verweis in der Suchmaschine. Am 11. Dezember 2014 schließlich hat der EuGH entschieden, dass die EU-Datenschutzrichtlinie auch auf privat betriebene Videoüberwachungsanlagen Anwendung findet, wenn damit öffentlicher Raum überwacht wird. Das führt unter anderem dazu, dass der Kamerabetreiber sich vor der Inbetriebnahme mit den rechtlichen Anforderungen der Videoüberwachung auseinander setzen und die Anlage bei dem Unabhängigen Datenschutzzentrum Saarland melden muss. 9 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Im öffentlichen Bereich haben wir sowohl die Änderung des Polizeigesetzes als auch die Änderung des Verfassungsschutzgesetzes begleitet. Als neue Prüftätigkeit haben wir erstmals im Jahre 2014 die Antiterrordatei (ATD) beim Landespolizeipräsidium einer Kontrolle unterzogen. Es handelt sich bei dieser Datei um eine gemeinsame Datenbank von verschiedenen deutschen Sicherheitsbehörden, die auf der Rechtsgrundlage des Antiterrordateigesetzes zur Aufklärung oder Bekämpfung des internationalen Terrorismus mit Bezug zur Bundesrepublik Deutschland errichtet wurde. Auf der Grundlage der Forderung des Bundesverfassungsgerichtes in seinem Urteil vom 24. April 2013 (1 BvR 1215/07) wurden durch die am 1. Januar 2015 in Kraft getretenen Änderungen des Antiterrordateigesetzes und des Rechtsextremismusdateigesetzes verpflichtende, mindestens alle zwei Jahre durchzuführende Datenschutzkontrollen dieser beiden Dateien normiert. Im Berichtszeitraum haben die Beschwerden über Videoüberwachungsmaßnahmen erneut zugenommen. In Gaststätten und Diskotheken wird vermehrt in Unkenntnis der rechtlichen Gegebenheiten auf Videotechnik gesetzt, ohne dass rechtliche Erfordernisse wie beispielsweise eine Vorabkontrolle oder die Einschaltung eines Datenschutzbeauftragten beachtet wurden. Ebenso sind uns immer wieder Betriebe gemeldet worden, in denen Videokameras in unzulässiger Weise für eine Verhaltens- und Leistungskontrolle der Mitarbeiter genutzt wurden. Auch auf Parkplätzen und zum Schutz von Wohneigentum werden in steigender Zahl Kameras eingesetzt, die den rechtlichen Vorgaben vielfach nicht entsprechen. Gleiches gilt auch für die Vielzahl der Kameras, die mittlerweile in saarländischen Wäldern zu finden sind und deren Einsatz nur unter Beachtung spezifischer rechtlicher Maßgaben als zulässig angesehen werden kann. Durch die breite Unterstützung des Landes, einiger Landkreise und Sparkassen konnten wir im Berichtszeitraum Schulworkshops für weiterführende Schulen zum Thema Datenschutz und Medienkompetenz anbieten. Auf Vorschlag der Lehrer wurden diese speziell für die Klassenstufe sechs konzipiert. Die große Nachfrage und die positiven Reaktionen zeigen, dass gerade auch Jugendliche nach Hilfen für den sicheren Umgang im Netz suchen und - neben dem „Learning by Doing“ - Medienkompetenz und Datenschutzbewusstsein auch in der schulischen Bildung vermittelt werden sollte. Die Workshops des Unabhängigen Datenschutzzentrums leisten einen wichtigen Beitrag hierzu. Die technische Sicherheit und die Vertraulichkeit bei der Datenübertragung waren im Berichtszeitraum – nicht zuletzt vor dem Hintergrund 10 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht der Enthüllungen von Edward Snowden und des NSAUntersuchungsausschusses – in den Medien und speziell auch unter den Datenschützern viel diskutierte Themen. Diese öffentliche Diskussion hat auch bei vielen Menschen das Bewusstsein für die Bedeutung sicherer Übertragungswege für persönliche Daten und damit auch für die Notwendigkeit des Einsatzes von Verschlüsselungstechniken erhöht. In diesem Bereich ist in den vergangenen zwei Jahren von verschiedenen Unternehmen Einiges auf den Weg gebracht worden, aber längst ist der Einsatz solcher Techniken noch nicht zum Standard geworden. Aus unserer Sicht müssen die Möglichkeiten und Wege der Verschlüsselung so gestaltet werden, dass sie auch für den Laien mit einem Klick anwendbar sind. Es ist jedem Nutzer unbenommen, solche „sicheren Wege“ zu verlassen und eigene offene Wege zu suchen. Entscheidend ist und bleibt aber, dass der Nutzer die Chance hat, ohne Aufwand sicher zu kommunizieren, ohne dass Anbieter, Firmen oder Nachrichtendienste diese Kommunikation unmittelbar verfolgen können. Wir wollen die digitale Uhr nicht zurückdrehen oder zum Stillstand bringen, wir wollen aber, dass wir auch im digitalen Zeitalter noch allein entscheiden können, was wir privat halten und was wir für die Öffentlichkeit preisgeben wollen. Die Mitarbeiter des Unabhängigen Datenschutzzentrums haben daher auch die eigene Homepage - www.datenschutz.saarland.de - neu gestaltet und einen sicheren Kommunikationsweg für Nutzer eingerichtet. Sowohl für Firmen als auch für Verbraucher wird die Nutzung von Cloud Diensten immer interessanter, da die Datenmengen anwachsen, eigene Rechnerkapazitäten nicht immer ausreichen und die Daten ständig und überall verfügbar sein sollen. Gleichzeitig ist die Sicherheit der persönlichen Daten immer schwieriger zu gewährleisten. Im Jahr 2014 wurde daher von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises eine Orientierungshilfe zur Nutzung von Cloud Diensten erarbeitet. Diese Orientierungshilfe richtet sich an Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an ITVerantwortliche und soll den datenschutzgerechten Einsatz dieser Technologie fördern. Dieser Tätigkeitsbericht enthält eine kurze Zusammenfassung der wichtigsten datenschutzrechtlichen Anforderungen an Anbieter von Cloud Diensten und soll den Nutzern eine Entscheidungshilfe bei der Auswahl solcher Dienste geben. 11 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 2 Internationaler Datenverkehr Der Bereich des internationalen Datenverkehrs war im Berichtszeitraum maßgeblich durch die Enthüllungen von Edward Snowden geprägt. Insbesondere was Datenflüsse in die USA anbelangt, lassen die bekanntgewordenen Erkenntnisse über die Arbeitsweise und technischen Möglichkeiten der NSA, des größten amerikanischen Auslandsgeheimdienstes, Zweifel daran aufkommen, ob in den Vereinigten Staaten ein angemessenes Datenschutzniveau überhaupt noch gewährleistet werden kann. Insbesondere im sich verstärkenden Trend zum Cloud Computing hat dies erhebliche Auswirkungen, da zahlreiche Anbieter von Cloud-Computing-Dienstleistungen US-Unternehmen sind. Sowohl die EU-Richtlinie 95/46/EG als auch das Bundesdatenschutzgesetz (BDSG) verlangen aber, dass personenbezogene Daten nur dann in Länder außerhalb der EU/des EWR transferiert werden dürfen, wenn beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist. Die Gewährleistung dieses Datenschutzniveaus kann dabei durch verschiedene Instrumente erfolgen. Zu den verbreitetsten gehören die Safe Harbor-Zertifizierung der datenempfangenden Stelle, die Verwendung von Standardvertragsklauseln und die Nutzung von verbindlichen Unternehmensrichtlinien (sog. Binding Corporate Rules - BCR). 2.1 Safe Harbor Safe Harbor ist eine seit dem 06. Juli 2000 bestehende Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Ausgangspunkt für diese Vereinbarung bilden die Vorschriften der Art. 25 und 26 der EU-Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem europäischen Standard entsprechen. Allerdings sieht Art. 25 Abs. 6 der Richtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland "feststellen" kann, wenn dieses bestimmte Anforderungen erfüllt. Die Vereinbarung soll ein angemessenes Datenschutzniveau bei USamerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze verpflichten. Durch die Verpflichtung und eine Meldung an die Federal Trade Commission (FTC) können sich die Unternehmen selbst zertifizieren. So zertifizierte US-Unternehmen schaffen damit grundsätzlich die Voraussetzungen, dass eine Übermittlung personenbezogener Daten aus Europa an sie unter denselben Bedingungen möglich ist, wie Übermittlungen innerhalb des europäischen Wirtschaftsraumes (EU/EWR). 12 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 2.2 Standardvertragsklauseln Eine weitere Möglichkeit, personenbezogene Daten in Drittländer zu transferieren, stellt die Verwendung der sog. Standardvertragsklauseln dar. Schließen das exportierende Konzernunternehmen in der EU und das importierende außerhalb der EU/des EWR einen Vertrag mit den Standardvertragsklauseln der EU-Kommission, so ist damit automatisch ein angemessenes Datenschutzniveau beim Importeur sichergestellt. Der Vorteil der Standardvertragsklauseln ist ihre vergleichsweise leichte Umsetzbarkeit. Dies gilt vor allem, wenn Daten sternförmig zu einer einzigen Gesellschaft in einem Drittland übermittelt werden. 2.3 Gemeinsame Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013 Den beiden Instrumenten, Safe Harbor und Standardvertragsklauseln, ist gemeinsam, dass sie ein tatsächlich nicht vorhandenes angemessenes Datenschutzniveau beim Datenimporteur fingieren. Diese Fiktion stellt aber sozusagen nur eine Komponente bei der Beurteilung dar, ob personenbezogene Daten zulässigerweise in Drittländer übermittelt werden dürfen. Nach § 4b Abs. 2 Satz 2 BDSG hat eine Übermittlung nämlich zu unterbleiben, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Auch § 4c Abs. 2 BDSG gestattet eine Übermittlung nur, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Auch aus Art. 3 Abs. 1 der Safe-Harbor-Entscheidung der Kommission und der Befugnis nationaler Behörden, bestimmte Datenübermittlungen zu untersagen, wie auch Art. 25 Abs. 1 der Richtlinie 95/46/EG, der ausdrücklich klarstellt, dass eine Übermittlung “vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist“, ergibt sich, dass die nationalen Aufsichtsbehörden trotz der Safe-Harbor-Zertifizierung des Empfängers im Einzelfall Übermittlungen dorthin untersagen dürfen. Auch die Standardvertragsklauseln sehen eine entsprechende Befugnis zur Aussetzung von Datentransfers durch die nationalen Aufsichtsbehörden ausdrücklich vor. Als Reaktion auf die Erkenntnisse über die Überwachungsmaßnahmen durch die NSA, haben die Datenschutzbeauftragten des Bundes und der Länder im Juli 2013 in einer gemeinsamen Stellungnahme darauf hingewiesen, dass sie als Aufsichtsbehörden berechtigt sind, die Datenübertragung auf Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln für unsichere Drittstaaten wie die USA vorerst auszusetzen: „Angesichts der Berichte über die umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA), weist die Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf die Befugnisse hin, die den Aufsichtsbehörden beim internationalen Datenverkehr zwischen Unternehmen in Deutschland und Drittstaaten nach dem Bundesdatenschutzgesetz und der europäischen Datenschutzrichtlinie bereits jetzt zustehen. 13 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des "sicheren Hafens" ("Safe Harbor") zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Zwar enthält die Safe-HarborVereinbarung eine Regelung, die die Geltung der Grundsätze des "sicheren Hafens" begrenzt, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre soll jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheint in den USA zu bestehen; denn nur so lässt sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreift. Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“ Entsprechende Anordnungen wurden im Berichtszeitraum durch unsere Dienststelle nicht erlassen. 14 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 2.4 Binding Corporate Rules (BCR) Ein ausreichendes Datenschutzniveau stellen auch so genannte Binding Corporate Rules (verbindliche Unternehmensrichtlinien) sicher. Bei diesem Instrument, das sich zunehmender Beliebtheit erfreut, erlegt sich eine Gruppe von Unternehmen – meist handelt es sich hierbei um Unternehmen, die einem international tätigen Konzern angehören rechtsverbindlich Regeln in Bezug auf den Umgang mit personenbezogenen Daten auf. Hierfür gibt es ein zwischen den europäischen Aufsichtsbehörden für den Datenschutz abgestimmtes europaweites Anerkennungs- bzw. Beteiligungsverfahren, das durch die Behörde eines Mitgliedstaates federführend betreut wird. Ist das Verfahren zur Anerkennung der BCR abgeschlossen, gilt für Datenflüsse zwischen den beteiligten Unternehmen ein angemessenes Datenschutzniveau. Abhängig von der Rechtslage in den jeweiligen Mitgliedstaaten können aber auf die datenübermittelnde Stelle weitere Anforderungen hinzukommen. So sehen die Vorschriften diverser Mitgliedstaaten eine Genehmigungspflicht für Datenflüsse auf der Grundlage von BCR vor. Für Deutschland wird die Frage der Genehmigungsbedürftigkeit durch die zuständigen Aufsichtsbehörden uneinheitlich beantwortet. Wir vertreten hierzu die Auffassung, dass konkrete Datenflüsse durch verantwortliche Stellen mit Sitz im Saarland, die auf der Grundlage von verbindlichen Unternehmensregelungen erfolgen, vorab durch uns genehmigt werden müssen. Die Rechtsgrundlage für diese Genehmigungsbedürftigkeit ergibt sich aus § 4c Abs. 2 Bundesdatenschutzgesetz. Soweit wir im Rahmen des europaweiten Abstimmungs- und Beteiligungsverfahrens davon Kenntnis erhalten, dass auch Firmen mit Sitz im Saarland von neu einzuführenden verbindlichen Unternehmensregelungen betroffen sind, weisen wir diese Firmen frühzeitig darauf hin, dass vor der Übermittlung personenbezogener Daten an konzernangehörige Stellen außerhalb der EU/des EWR auf der Grundlage von BCR ein Genehmigungsantrag bei uns zu stellen ist. 2.5 Zwei-Stufen-Prüfung Allen oben genannten Instrumenten ist gemein, dass sie bei anforderungsgemäßer Umsetzung ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der hiermit verbundenen Rechte vorweisen. In der Beratungspraxis stellen wir jedoch immer wieder fest, dass verantwortliche Stellen nach Verwendung einer der genannten Instrumente davon ausgehen, dass eine Übermittlung personenbezogener Daten ohne weitere Einschränkungen zulässig ist. Hierbei wird jedoch verkannt, dass die Frage der Angemessenheit des Datenschutzniveaus nur eine Voraussetzung ist, um personenbezogene Daten an Stellen in Drittländer zu übermitteln. Weitere Voraussetzung ist – ebenso wie bei inländischen oder innereuropäischen Datenflüssen – die Einwilligung der betroffenen Personen oder eine Rechtsvorschrift, die die in Frage stehende Übermittlung legitimiert. 15 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Entsprechend hat sich auch der Düsseldorfer Kreis mit Beschluss vom 11. September 2013 geäußert: Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb des Europäischen Wirtschaftsraums, sind Datenschutzfragen auf zwei Stufen zu prüfen: Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten. Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen. Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt. 16 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 3 Europäischer Datenschutz In unserer digitalen Welt nimmt der Datenschutz auf europäischer Ebene eine immer größere Rolle ein. Auch durch die fortschreitende Globalisierung sind länderübergreifende Regelungen von immer größerer Bedeutung. 3.1 EU-Datenschutz-Grundverordnung Im Berichtszeitraum hat das Europäische Parlament die EUDatenschutz-Grundverordnung einstimmig verabschiedet. Inhaltlich deckt sich diese Fassung weitgehend mit dem Entwurf der Kommission, der bereits im letzten Tätigkeitsbericht vorgestellt wurde. Derzeit laufen die Abstimmungen im Ministerrat, die in 2015 abgeschlossen werden sollen. Da Änderungen gegenüber dem Kommissionsvorschlag und dem Parlamentsbeschluss zu erwarten sind, wird sich ein Trilog als Vermittlungsverfahren zwischen Rat und Parlament anschließen. Bei der grundsätzlichen Absicht, eine für alle EU-Staaten verbindliche Verordnung zum Datenschutz zu verabschieden und damit die Datenschutz-Richtlinie aus dem Jahr 1995 abzulösen, wird es aus heutiger Sicht bleiben. Die Ausgestaltung der künftigen Datenschutzaufsicht in Europa und die Frage, wer für europaweit agierende Unternehmen als Aufsichtsbehörde zuständig ist, war im Berichtszeitraum eines der wesentlichen Verhandlungsthemen. Deshalb hat die Konferenz hierzu im März 2014 die folgende Entschließung verabschiedet: Zur Struktur der künftigen Datenschutzaufsicht in Europa Ein zentrales Verhandlungsthema bei den Beratungen im Rat der EU betrifft die Frage, welche Aufgaben die Datenschutzbehörden künftig haben und wie sie in Fällen, die mehrere Mitgliedstaaten oder die gesamte EU betreffen, besser zusammenarbeiten können. Die Europäische Kommission hatte hierzu das Prinzip einer einheitlichen Anlaufstelle („One-Stop-Shop“) vorgeschlagen, wonach die Datenschutzbehörde am Sitz der Hauptniederlassung EU-weit zuständig ist für die Aufsicht über alle Niederlassungen eines Unternehmens innerhalb der EU. Daneben schlug sie die Einführung eines Kohärenzverfahrens vor, das es den Datenschutzbehörden ermöglichen soll, in grenzüberschreitenden Fällen zu einheitlichen Entscheidungen im Rahmen des europäischen Datenschutzausschusses zu gelangen. Vor dem Hintergrund der aktuell im Rat erörterten unterschiedlichen Modelle plädieren die Datenschutzbeauftragten des Bundes und der Länder für einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus, der folgende Kernelemente beinhalten sollte: 17 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 1. Die Datenschutzbeauftragten des Bundes und der Länder bekräftigen den Grundsatz, dass jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats die ihr mit der Verordnung übertragenen Aufgaben und Befugnisse über alle Datenverarbeitungen ausübt, durch welche Personen dieses Mitgliedstaates betroffen sind, unabhängig davon, ob die verantwortliche Stelle über eine Niederlassung innerhalb dieses Mitgliedstaates verfügt oder nicht. 2. Die Datenschutzbeauftragten des Bundes und der Länder befürworten die Einführung eines One-Stop-Shop-Mechanismus für Fälle, in denen der Datenverarbeiter über mehrere Niederlassungen in unterschiedlichen EU-Mitgliedstaaten verfügt. In diesem Fall fungiert die Aufsichtsbehörde am Ort der Hauptniederlassung als federführende Behörde, die mit den Aufsichtsbehörden der Mitgliedstaaten, in denen der Verantwortliche über weitere Niederlassungen verfügt oder in denen Personen betroffen sind, eng kooperiert. Es bleibt damit den betroffenen Personen unbenommen, sich an die Aufsichtsbehörden ihres Heimatlandes zu wenden. 3. Die federführende Behörde und die mit zuständigen nationalen Aufsichtsbehörden kooperieren mit dem Ziel einer einheitlichen Entscheidungsfindung. Im Falle der Einigkeit erlässt die federführende Behörde die erforderlichen Maßnahmen gegenüber der Hauptniederlassung des Verantwortlichen. Der Verantwortliche ist verpflichtet, die Maßnahmen in allen Niederlassungen innerhalb der EU umzusetzen. 4. Sofern eine nationale Behörde dem Maßnahmenentwurf der federführenden Behörde widerspricht, ist der Europäische Datenschutzausschuss mit dem Fall zu befassen, der hierzu verbindliche Leitlinien erlassen oder sonstige verbindliche Maßnahmen treffen kann. 5. Die Datenschutzbeauftragten des Bundes und der Länder befürworten die in dem Verordnungsentwurf enthaltenen Elemente zur Stärkung der Verantwortlichkeit der Unternehmen zur Einhaltung des Datenschutzrechts. Hierzu zählt die EU-weite Einführung betrieblicher Datenschutzbeauftragter, Datenschutz Folgeabschätzungen, Privacy-by-Design und Privacy-by-Default, Zertifizierungen, Datenschutzsiegel und Verhaltensregeln. Fragen zur Rechtskonformität einer Datenverarbeitung können im Rahmen der vorherigen Zurate Ziehung mit den Aufsichtsbehörden geklärt werden. 6. Für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen besteht aus Sicht der Datenschutzbeauftragten des Bundes und der Länder daneben kein Bedarf. Insbesondere darf die Klärung von Compliance-Fragen nicht zu einer Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden und zur Einschränkung aufsichtsbehördlicher Maßnahmen im Falle von Datenschutzverstößen führen. 18 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 7. Ein originärer Schwerpunkt der Aufsichtstätigkeit in Bezug auf Zertifizierungsprozesse sollte darin liegen, im Rahmen der Norminterpretation Prüfstandards mitzugestalten, auf deren Grundlage die Vergabe von Zertifikaten geprüft wird. 3.2 Entscheidungen des EuGH im Berichtszeitraum Der Gerichtshof der Europäischen Union in Luxemburg (EuGH) hat mit drei wichtigen Entscheidungen den Datenschutz in Europa gestärkt. 3.2.1 „Recht auf Vergessen“ Der Europäische Gerichtshof hat in der Entscheidung vom 13. Mai 2014 zum „Recht auf Vergessen“ Geschichte geschrieben. Er urteilte, dass Personen unter bestimmten Voraussetzungen die Löschung von Links mit auf sie bezogenen Daten, zum Beispiel auf alte Presseartikel mit nicht mehr aktuellen oder relevanten Informationen, aus den Ergebnislisten von Suchmaschinen verlangen können. Diese Entscheidung war so von den wenigsten Experten erwartet worden und sorgte europaweit für Kontroversen. Klarzustellen ist, dass es nicht um die generelle Löschung von Einträgen im Internet geht, es geht vielmehr darum, dass die Einträge nicht in der Suchliste von Google erscheinen, wenn bestimmte Voraussetzungen gegeben sind. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierzu in der Konferenz vom 8./9. Oktober 2014 die folgende Entschließung verabschiedet: Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 13. Mai 2014 – C-131/12 „Google Spain“ einen fundamentalen Beitrag zum Schutz der Persönlichkeitsrechte im Internet geleistet. Die Namenssuche in Suchmaschinen kann erhebliche Auswirkungen auf die Persönlichkeitsrechte haben. Mit Suchmaschinen lassen sich weltweit in Sekundenschnelle detaillierte Profile von Personen erstellen. Oft sind Einträge über eine unbegrenzte Zeit hinweg abrufbar. Sie können dann zu sozialen und wirtschaftlichen Nachteilen für die Betroffenen führen, die ggf. ein Leben lang mit früheren oder vermeintlichen Verfehlungen konfrontiert bleiben. Das Urteil stellt nun klar, dass die Betreiber von Suchmaschinen ein Recht Betroffener auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen umzusetzen haben. Künftig bleiben die Betroffenen daher nicht nur darauf angewiesen, ihre Ansprüche unmittelbar gegenüber den Informationsanbietern zu verfolgen, die häufig nur schwer oder auch gar nicht zu realisieren sind. Betroffene können sich nun auch direkt an die Suchmaschinenbetreiber wenden und verlangen, dass bei der Suche einzelne Links zu ihrem Namen künftig nicht mehr angezeigt werden. 19 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Das Urteil ordnet dabei allerdings nicht an, bestimmte Inhalte, wie Presseartikel oder Artikel aus der Wikipedia, zu löschen oder ihre Auffindbarkeit im Internet unmöglich zu machen. Vielmehr soll – nach einer erfolgreichen Beschwerde des Betroffenen – der entsprechende Link lediglich bei Eingabe eines bestimmten Personennamens nicht mehr angezeigt werden. Der betroffene Inhalt bleibt mit allen anderen Suchbegriffen weiterhin frei zugänglich (für Inhalte, die regelmäßig durch Eingabe des Namens einer Person in eine Suchmaschine gefunden werden, weil es sich um eine Person des öffentlichen Lebens handelt, hat der EuGH ausdrücklich eine Ausnahme vorgesehen). Zu Recht wird in der Debatte auf die erhebliche Macht der Anbieter von Suchmaschinen hingewiesen, über die Veröffentlichung von Suchergebnissen zu entscheiden. Diese Macht besteht jedoch nicht erst seit der Entscheidung des EuGH. Tatsächlich haben Inhalteanbieter keinen Rechtsanspruch am Nachweis ihrer Inhalte durch Suchmaschinen. Anbieter von Suchmaschinen sind keine neutralen Sachwalter der Informationsgesellschaft, sondern kommerziell handelnde Wirtschaftsunternehmen. Welche Suchergebnisse den Nutzern angezeigt wurden, bestimmt sich damit jedenfalls auch nach den kommerziellen Interessen von Suchmaschinen und ihren Vertragspartnern. Darüber hinaus unterlagen Suchmaschinen auch bereits vor der Entscheidung des EuGH bei der Gestaltung der Suchergebnisse äußeren Beschränkungen (z.B. durch das Urheberrecht). Mit dem Urteil wird klargestellt, dass Suchmaschinen neben diesen Erwägungen jetzt auch die Grundrechte der Betroffenen zu berücksichtigen haben. Das Urteil konkretisiert die Kriterien, unter welchen sich ausländische Unternehmen an europäisches bzw. nationales Datenschutzrecht halten müssen. Dieses für den Grundrechtsschutz maßgebliche Urteil muss nunmehr von den Suchmaschinenbetreibern umfassend umgesetzt werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist in diesem Zusammenhang auf folgende Punkte hin: Die effektive Wahrung der Persönlichkeitsrechte des Betroffenen setzt voraus, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Angesichts der territorialen Unbeschränktheit des Internet muss der Schutz des Einzelnen vor einer unberechtigten Verbreitung personenbezogener Daten universell gelten. Der verantwortliche Betreiber der Suchmaschine hat regelmäßig die Rechte der Betroffenen gegen die Interessen der Öffentlichkeit an einem freien und umfassenden Informationszugang im Einzelfall abzuwägen. Dabei ist insbesondere auf die Schwere der Persönlichkeitsrechtsbeeinträchtigung, die Stellung des Betroffenen im öffentlichen Leben sowie auf den zeitlichen Ablauf zwischen der Veröffentlichung und dem Antrag des Betroffenen beim Suchmaschinenbetreiber abzustellen. Die Entscheidung über die Verbreitung von Suchergebnissen, die Umsetzung von Widersprüchen und die Abwägungsentscheidung mit dem öffentlichen Interesse treffen zunächst die Suchmaschinenbetreiber. Die Kontrolle dieser Entscheidungen obliegt den jeweiligen Aufsichtsbehörden für den Datenschutz oder den staatlichen Gerichten. Alternative Streitbeilegungsoder Streitschlichtungsverfahren dürfen das verfassungsmäßige 20 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen nicht beschneiden. 3.2.2 Eine Befugnis der Anbieter von Suchmaschinen, Inhaltsanbieter routinemäßig über die Sperrung von Suchergebnissen zu informieren, besteht nicht. Dies gilt auch dann, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Vorratsdatenspeicherung Mit seiner Entscheidung vom 8. April 2014 hat der EuGH die Richtlinie 2006/24/EG über die Vorratsspeicherung von Telekommunikationsdaten für ungültig erklärt. Nach dieser Entscheidung ist die Einführung einer anlassfreien flächendeckenden Verkehrsdatenspeicherung unverhältnismäßig und greift in die Grundrechte auf Privatheit und auf Datenschutz ein, die in Art. 7 und Art. 8 der Europäischen Grundrechte-Charta verbrieft sind. In der Presseerklärung des Europäischen Gerichtshofes heißt es hierzu: „Der Gerichtshof stellt zunächst fest, dass den auf Vorrat zu speichernden Daten insbesondere zu entnehmen ist, 1. mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, 2. wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und 3. wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld. Der Gerichtshof sieht in der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist. ….“ Zwar hat das Gericht die Vorratsspeicherung als "nützliches Mittel" angesehen, das zur Aufklärung schwerer Straftaten geeignet sein kann. Zugleich hat es jedoch darauf hingewiesen, dass schon die Pflicht zur 21 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht anlasslosen Speicherung einen besonders schwerwiegenden Eingriff in das Recht auf Privatheit und den Datenschutz der Betroffenen darstellt. Ausdrücklich hat der Gerichtshof festgestellt, dass das an sich legitime Ziel der Bekämpfung schwerer Straftaten für sich genommen die Erforderlichkeit der Pflicht zur Vorratsspeicherung nicht rechtfertigt. Dem genügte die Richtlinie offenkundig nicht. Insbesondere schrieb sie die Speicherung von TelekommunikationsVerkehrsdaten fast der gesamten europäischen Bevölkerung vor. Hierzu gehörten auch solche Personen, deren Verhalten nicht einmal in einem entfernten Zusammenhang zu schweren Straftaten steht oder die einem Berufsgeheimnis unterliegen. Auch musste kein Zusammenhang zwischen den auf Vorrat gespeicherten Daten und einer Bedrohung der öffentlichen Sicherheit bestehen. In der mündlichen Verhandlung vor dem Europäischen Gerichtshof konnten die Verteidiger der Richtlinie auch nicht die zwingende Erforderlichkeit zur Bekämpfung schwerer Straftaten nachweisen. Die bisherige EU-Innenkommissarin Cecilia Malmström hat in einem Interview angekündigt, nach dem EuGH-Urteil keinen erneuten Gesetzesentwurf zur Vorratsdatenspeicherung vorzulegen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat zu dieser Entscheidung am 25. April 2014 die folgende Entschließung verabschiedet: Ende der Vorratsdatenspeicherung in Europa: Der Europäische Gerichtshof hat in seinem Urteil vom 8. April 2014 die Europäische Richtlinie zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten (Richtlinie 2006/24/EG) für ungültig erklärt. Dieses Urteil hat weitreichende Folgen für den Datenschutz in Europa. Die Datenschutzbeauftragten des Bundes und der Länder haben die anlasslose und massenhafte Speicherung von Verkehrsdaten der Telekommunikation stets abgelehnt. Sie begrüßen die Entscheidung des Europäischen Gerichtshofs als wichtigen Schritt zur Bekräftigung der informationellen Selbstbestimmung und des Telekommunikationsgeheimnisses. Der Europäische Gerichtshof hat in seinem Urteil der undifferenzierten und automatischen Totalerfassung solcher Daten eine klare Absage erteilt. Er hat darauf hingewiesen, dass schon die Pflicht zur anlasslosen Speicherung einen besonders schwerwiegenden Eingriff großen Ausmaßes in das Recht auf Privatleben und den Datenschutz der Betroffenen darstellt. Diese in der Europäischen Grundrechte Charta verbrieften Rechte dürften nur eingeschränkt werden, soweit dies absolut notwendig ist. Die für ungültig erklärte Richtlinie entsprach diesen Vorgaben nicht, weil sie ohne jede Differenzierung, Einschränkung oder Ausnahme zur pauschalen Totalerfassung der Verkehrsdaten verpflichtete. Nach dem Urteil des Gerichtshofs kann eine undifferenzierte Pflicht zur anlasslosen und flächendeckenden Vorratsdatenspeicherung unionsrechtlich nicht mehr neu begründet werden. Die Absichtserklärung der 22 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bundesregierung, zurzeit kein Gesetz zur Speicherung von Verkehrsdaten einzuführen, wird von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt. Etwaige Diskussionen auf europäischer Ebene sollten abgewartet werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist ausdrücklich darauf hin, dass der Maßstab des EuGH auch für das anlasslose exzessive Überwachen durch sämtliche Nachrichtendienste gelten muss. Zudem hält der Gerichtshof die Pflicht zur großflächigen Speicherung von personenbezogenen Daten nur dann für zulässig, wenn die Daten in der Europäischen Union gespeichert werden und damit unter die Kontrolle unabhängiger Datenschutzbehörden fallen. Dies zwingt auch zu einer Neubewertung z.B. der FluggastdatenÜbermittlung in die USA und des Safe-Harbor-Abkommens. 3.2.3 Private Videoüberwachung Mit Urteil vom 11. Dezember 2014 hat der EuGH entschieden, dass die EU-Datenschutzrichtlinie auch auf privat betriebene Videoüberwachungen Anwendung findet, wenn damit öffentlicher Raum, wie z.B. Straßen und Gehwege, überwacht wird. Der EuGH kam zu dem Ergebnis, dass solche Videoüberwachungen nicht als ausschließlich persönliche oder familiäre Tätigkeiten von der Anwendung der EU-Datenschutzrichtlinie ausgenommen sind, da durch die – auch nur teilweise – Überwachung des öffentlichen Raums die private Sphäre des Anlagenbetreibers verlassen wird. Darüber hinaus hat der EuGH bestätigt, dass eine Speicherung der mittels einer Videoüberwachung gewonnenen Bilddaten als automatisierte Verarbeitung im Sinne der EU-Datenschutzrichtlinie zu qualifizieren ist. Für Betreiber von Videoüberwachungsmaßnahmen hat diese Entscheidung weitreichende Konsequenzen. Das Bundesdatenschutzgesetz, in welchem die Regelungen der EU-Datenschutzrichtlinie in deutsches Recht umgesetzt sind, sieht u.a. vor, dass Videoüberwachungsmaßnahmen, mit deren Hilfe Bilddaten gespeichert werden und die somit als Verfahren automatisierter Verarbeitung anzusehen sind, grundsätzlich vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden sind (§ 4d Abs. 1 BDSG). Bereits mit Pressemitteilung vom 23. Januar 2014 hatte das Unabhängige Datenschutzzentrum Saarland darauf hingewiesen, dass für Betreiber von Videoüberwachungsanlagen eine gesetzliche Pflicht besteht, diese der Aufsichtsbehörde zu melden und dass die unterlassene, unrichtige oder verspätete Meldung mit einem Bußgeld sanktioniert werden kann. Durch die Verpflichtung, Videoüberwachungsanlagen der Aufsichtsbehörde zu melden, wird der gängigen Praxis solche Geräte ohne weitere Prüfung einzusetzen, ein Riegel vorgeschoben. Der Kamerabetreiber muss sich zunächst einmal mit den rechtlichen Anforderungen an den zulässigen Betrieb einer solchen Anlage auseinandersetzen und über weniger einschneidende Alternativen nachdenken. Zudem wird die Aufsichtsbehörde in die Lage versetzt, solche Anlagen auf ihre datenschutzrechtliche Zulässigkeit hin zu überprüfen, bevor personenbezogene Daten erhoben und gespeichert werden. 23 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 4 Technisch-organisatorischer Datenschutz 4.1 Datenschutz in Smartphone-Apps Man geht davon aus, dass mittlerweile mehr als 30 Millionen Deutsche mindestens ein, wenn nicht sogar mehrere Smartphones besitzen. Neben der Kommunikation an sich ermöglichen diese Geräte die Nutzung sogenannter Apps (engl.: application). Hierbei handelt es sich um kleine Programme, die die Funktionalität des Smartphones ergänzen und die von Drittanbietern – teilweise kostenfrei – zur Verfügung gestellt werden. Diese Apps bergen aber ein gewisses Risiko für das Recht auf informationelle Selbstbestimmung der Betroffenen. Denn abhängig von dem verwendeten System, können diese Apps Zugriff auf eine Vielzahl persönlicher Daten nehmen: sei es die Kontaktdaten von Freunden, Familienangehörigen oder Geschäftspartnern, über Fotos und Videos bis hin zu privater Kommunikation per SMS oder E-Mail. Dies geschieht, ohne dass der Anwender hiervon Kenntnis erlangt. Die Nutzer sollten sich daher vor der Installation entsprechender Apps darüber informieren, welche personenbezogenen Daten die App erhebt und verarbeitet und zu welchem Zweck dies geschieht. Leider konnten wir feststellen, dass in Bezug auf die datenschutzrechtlichen Anforderungen an Apps sowohl bei App-Entwicklern als auch bei den App-Anbietern eine Unkenntnis über die Rechtslage besteht und dass mit den personenbezogenen Daten der Nutzer vereinzelt eher sorglos umgegangen wird. Dies wird dadurch verstärkt, dass durch die Verbreitung der Apps der Markt sich hin zugunsten von eher kleinen Entwicklerstudios verschoben hat, die mitunter keine ausreichenden Kenntnisse hinsichtlich (datenschutz-) rechtlicher Anforderungen haben. Waren es früher die großen Anbieter wie Microsoft, IBM und Adobe, deren Software-Entwicklungen von Rechtsabteilungen begleitet wurden, so hat die Verbreitung von Smartphones und die damit verbundene Einführung von sogenannten App-Stores dazu geführt, dass auch einzelne Entwickler mit einer eigenen Idee schnell und einfach einen breiten Kundenmarkt zur Verfügung haben. Um sowohl App-Entwickler als auch App-Anbieter bei den datenschutzrechtlichen Implikationen beim Anbieten von Smartphone-Apps zu unterstützen hat der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden im nicht-öffentlichen Bereich) eine Orientierungshilfe „Apps“ veröffentlicht. App-Entwickler und -Anbieter sollen damit bereits in der Konzeptions- und Entwicklungsphase einer App die datenschutzrechtlichen Vorgaben kennen und durch datenschutzgerechte Gestaltung („privacy by design“) sowie datenschutzfreundliche Voreinstellungen („privacy by default“) dafür Sorge tragen, dass die App später ohne datenschutzrechtliche Mängel angeboten werden kann. 24 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 4.1.1 Unterrichtung des Nutzers In vielen Fällen ist dem Anbieter einer App gar nicht bekannt, dass er eine Datenschutzerklärung vorhalten muss, soweit seine App personenbezogene Daten verarbeitet. Gemäß § 13 Abs. 1 S. 1 Telemediengesetz (TMG) hat er den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten [außerhalb der EU bzw. des EWR] (...) in allgemein verständlicher Form zu unterrichten". Nach Satz 3 des § 13 Abs. 1 TMG muss der Inhalt der Unterrichtung für den Nutzer jederzeit abrufbar sein. Zudem ist der Nutzer zu Beginn eines automatisierten Verfahrens, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, hierüber zu informieren (vgl. § 13 Abs. 1 S. 2 TMG). Wie dieser Unterrichtungsverpflichtung im Falle von Smartphone-Apps konkret nachgekommen werden kann ist umstritten. Aus Sicht des Düsseldorfer Kreises bedarf es hierfür einer frühzeitigen und jederzeit abrufbereiten Unterrichtung. Dies bedeutet, dass die Datenschutzerklärung somit entweder im App-Store oder nach dem Herunterladen und vor dem Start der App für den Nutzer zum Abruf bereitgehalten werden muss. Dies kann am besten dadurch erzielt werden, dass die Datenschutzerklärung im jeweiligen App-Store eingestellt wird. Die großen Anbieter wie Google und Apple bieten entsprechende Möglichkeiten an. Jederzeitige Abrufbarkeit bedeutet, dass die Unterrichtung dabei innerhalb der App leicht auffindbar platziert werden muss. Hierbei muss auch dafür gesorgt werden, dass im Offline-Betrieb der App die Datenschutzerklärung zur Verfügung steht. 4.1.2 Sichere Datenübertragung Regelmäßig kommuniziert die App auf dem Gerät des Nutzers mit den Server-Systemen (Backends) des Anbieters oder sonstiger Dritter. Um sicherzustellen, dass personenbezogene Daten mit normalem Schutzbedarf während des Transports nicht unbefugt gelesen oder verändert werden, verlangen wir, dass sowohl beim Versand als auch beim Empfang entsprechender Daten die Kommunikationsverbindung mit dem Backend durch eine Transportverschlüsselung abgesichert ist. Die App und auch das Backend müssen daher so konfiguriert sein, dass eine sichere Verbindung auf Grundlage einer dem Stand der Technik entsprechenden Protokollvariante nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder höher ausgehandelt wird (zurzeit bspw. TLS 1.1 oder höher). Sollten diese Protokolle etwa aus Kompatibilitätsgründen nicht nutzbar sein, dürfen unsichere Varianten, wie bspw. SSL 3.0 bzw. TLS 1.0, allenfalls für einen kurzen Übergangszeitraum genutzt werden. Das Server-Backend sollte bei der Aushandlung der Verschlüsselung nur starke Chiffren (≥ 128 Bit, bspw. 3DES, AES) verwenden und ausreichend große Schlüssellängen (≥ 2048 Bit) einsetzen. Dabei sollten nur vertrauenswürdige Zertifikate, also solche, die von einer bekannten Zertifizierungsstelle ausgestellt wurden, zum Einsatz kommen. 25 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Personenbezogene Daten dürfen auch bei der Nutzung von Transportverschlüsselung nicht in der URL bzw. im GET-Parameter der httpsAnfrage übermittelt werden, da es durch Protokollierung der Aufrufe auf Seiten der App oder des Backend-Servers (etwa durch den Serverbetreiber) trotz Verschlüsselung zur Offenbarung personenbezogener Daten kommen kann. Durch den Einsatz kurzlebiger Sitzungsschlüssel (Perfect Forward Secrecy) ist sicherzustellen, dass ein Angreifer aufgezeichnete Verbindungen selbst bei Brechen der Verschlüsselung einer Verbindung nicht nachträglich entschlüsseln kann. Zudem sollte darauf geachtet werden, dass die zum Einsatz kommenden Softwarebibliotheken zumindest mit FIPS140-2 Zertifizierung Stufe 1 kompatibel sind. Werden durch oder an die App Daten mit erhöhtem Schutzbedarf, wie z.B. Gesundheits- oder Kreditkartendaten übertragen, so muss mittels Zertifikats- oder Public-Key-Pinning zusätzlich sichergestellt werden, dass Angreifer nicht durch Unterschieben vermeintlich valider Zertifikate die Verbindung kompromittieren können. Die zum Einsatz kommenden kryptographischen Algorithmen und Schlüssellängen müssen sich an der Dauer der Schutzwürdigkeit der personenbezogenen Daten orientieren (z.B. kann eine notwendige Schlüssellänge von bis zu 15360-Bit bei RSA-Verfahren bei Gesundheitsdaten höhere Anforderungen nach sich ziehen, als aktuell eingesetzte Standardverfahren anbieten). 4.2 Verbindungsverschlüsselung bei Webauftritten Sobald personenbezogene Daten elektronisch übertragen werden, verlangen sowohl das Bundesdatenschutzgesetz als auch das Saarländische Datenschutzgesetz, dass dafür Sorge zu tragen ist, dass diese Daten während des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dies kann insbesondere durch die Anwendung kryptographischer Verfahren erreicht werden. Insbesondere bei Webauftritten von öffentlichen und nicht-öffentlichen Stellen fordern wir den Einsatz einer Verbindungsverschlüsselung, sobald personenbezogene Daten – beispielsweise durch Verwendung eines einfachen Kontaktformulars – erhoben oder verarbeitet werden. Entsprechende Zertifikate sind bereits für geringe Euro-Beträge erhältlich und auch bereits bestehende Webseiten können im Regelfall problemlos nachgerüstet werden. Wir empfehlen den Betreibern eines Webauftritts, ihre Seiten nur entsprechend gesichert anzubieten, auch wenn hierüber keine personenbezogenen Daten verarbeitet werden. Eine intakte Verbindungsverschlüsselung verhindert, dass die Nutzung des Internets durch Unbefugte überwacht wird oder unbefugte Dritte den Inhalt der Seite manipulieren, indem sie etwa Schadcode einschleusen. Gerade in öffentlichen Netzen ist es für die Betreiber der Netzinfrastruktur, seien dies große Internet Service Provider oder das kleine Bistro, das seinen Kunden kostenlosen WLAN Zugang ermöglicht, ohne nennenswerten Aufwand möglich, mit zu protokollieren welche Webseiten der Kunde besucht oder welche Informationen der Kunde abruft. Zudem ist es möglich diese Informationen zu manipulieren, indem etwa Werbung oder Schadcode in die Seite eingeschleust wird. 26 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Daher haben auch die Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" vom 27./28. März 2014 die sichere und vertrauenswürdige Bereitstellung von Internetangeboten gefordert: Gewährleistung der Menschenrechte bei der elektronischen Kommunikation Die Enthüllungen des Whistleblowers Edward Snowden haben ein Ausmaß an geheimdienstlicher Überwachung aufgezeigt, das viele zuvor nicht für möglich gehalten hatten. Die tendenziell unbegrenzte und kaum kontrollierte Überwachung der elektronischen Kommunikation aller verletzt das auch im digitalen Zeitalter weltweit anerkannte Recht auf Privatheit in täglich wiederkehrender millionenfacher Weise. Dies beeinträchtigt zugleich die Wahrnehmung anderer Menschenrechte wie der Meinungs- und Versammlungsfreiheit. Es ist eine gesamtgesellschaftliche Aufgabe, berechtigtes Vertrauen in die prinzipielle Unverletzlichkeit der Kommunikation wieder herzustellen. Die Datenschutzbeauftragten des Bundes und der Länder haben daher schon im September 2013 gefordert, auf diese neue Qualität der Überwachung rechtlich und politisch zu reagieren. Darüber hinaus sind aber auch technische und organisatorische Schutzmaßnahmen erforderlich. Der Schutz der informationellen Selbstbestimmung der in Deutschland lebenden Menschen sowie der Vertraulichkeit und Integrität informationstechnischer Systeme muss wieder hergestellt und dauerhaft gesichert werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert daher die Prüfung und Umsetzung folgender Maßnahmen: 1. Sichere Verschlüsselung beim Transport und bei der Speicherung von Daten, 2. Bereitstellung einer einfach bedienbaren VerschlüsselungsInfrastruktur, 3. Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbindungsverschlüsselung, 4. Sichere und vertrauenswürdige Bereitstellung von Internetangeboten, 5. Weiterentwicklung innovativer Vorkehrungen zum Schutz von Verkehrsdaten, 6. Ausbau der Angebote und Förderung anonymer Kommunikation, 7. Angebot für eine Kommunikation über kontrollierte Routen, 8. Sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Möglichkeiten der Geolokalisierung, 9. Beschränkung des Cloud Computing mit personenbezogenen Daten auf vertrauenswürdige Anbieter mit zertifizierter Informationssicherheit, 10. Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch Zertifizierung, 27 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 11. Sensibilisierung von Nutzerinnen und Nutzern moderner Technik, 12. Ausreichende Finanzierung von Maßnahmen der Informationssicherheit. Der Arbeitskreis ,,Technische und organisatorische Datenschutzfragen" der Datenschutzkonferenz hat einen Anforderungskatalog formuliert, der die hier genannten Maßnahmen konkretisiert (siehe Anlage zu dieser Entschließung). Die Datenschutzbeauftragten des Bundes und der Länder fordern die Anbieter elektronischer Kommunikationsdienste auf, entsprechende Technologien und Dienste zur Verfügung zu stellen. Die Verwaltungen in Bund und Ländern, insbesondere die zuständigen Regulierungsbehörden, sind aufgefordert, auf die Durchsetzung der o.g. Maßnahmen zu dringen. Der Gesetzgeber ist aufgerufen, die zu ihrer Durchsetzung ggf. nötigen Änderungen und Präzisierungen an dem bestehenden Rechtsrahmen vorzunehmen. 4.2.1 HeartBleed Allein die einmalige Umsetzung einer Verbindungsverschlüsselung genügt jedoch im Regelfall nicht. Vielmehr muss die Verschlüsselung regelmäßig an die Sicherheitsanforderungen angepasst werden, indem etwa die kryptographischen Parameter (etwa die Schlüssellänge) geändert werden oder aufgetauchte Sicherheitslücken beseitigt werden. Der letztgenannte Fall eines HeartBleed betraf im Jahr 2014 eine Vielzahl von Webdiensten weltweit. Durch einen Programmierfehler in OpenSSL, einer Softwarebibliothek, die bei der Verschlüsselung von Daten eine sehr hohe Verbreitung hat, war es möglich, bei Internetdiensten den zur Verschlüsselung von Daten verwendeten privaten (geheimen) Schlüssel auszulesen, mit der Folge, dass ein potentieller Angreifer durch Kenntnis des privaten Schlüssels nun verschlüsselte Verbindungen problemlos entschlüsseln konnte. Als Sofortmaßnahme konnten die Webseitenbetreiber den sog. HeartBleed, eine für die Verbindungsverschlüsselung nicht zwingend erforderliche Komponente, abschalten. Eine langfristige Lösung konnte aber nur mittels einer Aktualisierung der OpenSSL-Software erreicht werden. Da zudem nicht ausgeschlossen werden konnte, dass bereits ein Angriff stattgefunden hatte und der private Schlüssel kompromittiert wurde, haben wir von den betroffenen Stellen gefordert die Weiterverwendung des bestehenden Zertifikats zu unterlassen und stattdessen ein neues Zertifikat zu installieren. 4.3 Reichweitenanalyse auf Webseiten öffentlicher Stellen Bereits im 24. Tätigkeitsbericht für den Berichtszeitraum 2011/2012 wurde über den Beschluss des Düsseldorfer Kreises vom 26./27. November 2009 zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten berichtet. 28 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Darin hatten die Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich Vorgaben für den Einsatz solcher Analyseverfahren gemacht: Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen. Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt. Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen. Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen. Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. Bedient sich der Seitenbetreiber bei der Einbindung von Tools zur Reichweitenanalyse Drittanbietern, so sind die oben genannten Vorgaben durch den Abschluss eines Auftragsdatenverarbeitungsvertrages sicherzustellen. Dies hat bei einigen öffentlichen Stellen allerdings für Verwirrung gesorgt. Denn die großen kommerziellen Anbieter stellen dem Neukunden bereits alle Vertragsdokumente zur Unterzeichnung zur Verfügung. Dabei wird aber in den meisten Fällen verkannt, dass die vom Anbieter zur Verfügung gestellten Vertragsmuster zur Auftragsdatenverarbeitung für öffentliche Stellen im Saarland in der Regel ungeeignet sind. Dies liegt daran, dass die Muster in der Regel an die gesetzlichen Anforderungen des § 11 Bundesdatenschutzgesetz (BDSG) angelehnt sind und inhaltlich auf die Vorschriften des BDSG Bezug nehmen. Für öffentliche Stellen im Saarland normiert jedoch das Saarländische Datenschutzgesetz in § 5 besondere rechtliche Anforderungen für die Verarbeitung personenbezogener Daten im Auftrag. Diese Anforderungen sind in einigen Punkten mit denen des BDSG nicht kompatibel, mit der Folge, dass ein wirksamer Auftragsdatenverarbeitungsvertrag nicht zustande kommen kann und die Reichweitenanalyse nicht datenschutzkonform betrieben wird. Öffentliche Stellen sollten also darauf achten, dass Sie vor Einsatz eines Verfahrens zur Reichweitenanalyse einen Vertrag mit dem Betreiber 29 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht abschließen, der den Anforderungen des SDSG entspricht. Hierbei ist zu berücksichtigen, dass nach § 5 Abs. 3 Satz 2 SDSG die Landesbeauftragte für Datenschutz von der Beauftragung zu unterrichten ist, soweit die dort genannten Voraussetzungen gegeben sind.1 4.4 Cloud Computing – technische und organisatorische Aspekte Cloud Computing ist kein Hype mehr, Cloud Computing wird genutzt. 2 4.4.1 Einleitung Was ist Cloud Computing? Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology),3 die auch von der ENISA (Europäische Agentur für Netz- und Informationssicherheit genutzt wird)4: „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen(z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“ Die Datenschutzbeauftragten des Bundes und der Länder beschäftigen sich bereits seit längerer Zeit mit der Thematik des Cloud Computing. Da das Thema weiter an Aktualität gewonnen hat, wurde von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises die Orientierungshilfe Cloud Computing erarbeitet. Die Orientierungshilfe richtet sich an Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche und soll den datenschutzgerechten Einsatz dieser Technologie fördern. Der Schwerpunkt liegt dabei auf Hinweisen bei der Nutzung von CloudComputing-Diensten durch datenverarbeitende Stellen. Anbieter von Cloud-Computing-Dienstleistungen können aus dieser Orientierungshilfe diejenigen Anforderungen entnehmen, die ihre Kunden aus datenschutzrechtlicher Sicht stellen. 1 2 3 4 Uns ist derzeit kein Anbieter eines entsprechenden Analyseverfahrens bekannt, bei dem die Voraussetzungen des § 5 Abs. 3 Satz 2 SDSG nicht gegeben wären. Sichere Nutzung von Cloud-Diensten, Bundesamt für Sicherheit in der Informationstechnik. Wayne Jansen, Timothy Grance, Guidelines on Security and Privacy in Public Cloud Computing, NIST, Draft Special Publication 800-144, January 2011. ENISA, CloudComputing: Benefits, Risks and Recommendations for Information Security, November 2009. 30 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die o.g. Orientierungshilfe Cloud Computing (Version 2.0, Stand 09. Oktober 2014) finden Sie auf unserer Homepage. Neben den Datenschutzbeauftragten hat sich beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Thema Cloud-Computing befasst und hierzu eigene Publikationen veröffentlicht. https://www.bsi.bund.de/DE/Themen/CloudComputing/CloudComputin g_node.html Im Nachfolgenden werden wir auf einige technisch-organisatorische Aspekte bei der Einführung, Nutzung und Beendigung von CloudDiensten eingehen. 4.4.2 Cloud-Modelle Bei Cloud Computing kann man die bereitgestellten Lösungen anhand unterschiedlicher Service- und Bereitstellungsmodelle kategorisieren. Hierbei muss geklärt werden, welche Dienste bzw. Services durch die geplante Cloud-Lösung angeboten werden sollen (Infrastrukturen, Plattformen oder Anwendungen) und wer die zukünftige Cloud-Lösung bereitstellen soll (beispielsweise die eigene Institution oder ein Cloud Service Provider (CSP)). Im Bereich der Servicemodelle wird zwischen drei verschiedene Kategorien unterschieden: 1. Infrastructure as a Service (IaaS) Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kunde z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. 2. Platform as a Service (PaaS) Ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der CSP in der Regel eigene Werkzeuge anbietet. 3. Software as a Service (SaaS) Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Bei- 31 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht spiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt. Der Begriff „as a Sevice“ wird noch für eine Vielzahl weiterer Angebotebenutzt, wie z. B. für Security as a Service, BP as a Service (BusinessProcess), Storage as a Service, so dass häufig auch von „XaaS“ geredet wird, also „irgendwas als Dienstleistung“. Dabei lassen sich die meisten dieser Angebote zumindest grob einer der obigen Kategorien zuordnen. Die Servicemodelle unterscheiden sich auch im Einfluss des Kunden auf die Sicherheit der angebotenen Dienste. Bei IaaS hat der Kunde die volle Kontrolle über das IT-System vom Betriebssystem aufwärts, da alles innerhalb seines Verantwortungsbereichs betrieben wird, bei PaaS hat er nur noch Kontrolle über seine Anwendungen, die auf der Plattform laufen, und bei SaaS übergibt er praktisch die ganze Kontrolle an den CSP.5 Hinsichtlich der unterschiedlichen Bereitstellungsmodelle (Deployment Models) unterscheidet die NIST zwischen: » In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen. » Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden. » In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden. » Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt. Die oben genannten Definitionen decken aber nicht alle Varianten von Cloud Angeboten ab, was zu weiteren Definitionen wie „Virtual Private Cloud“, etc. führt. Während bei einer Private Cloud, bei der im Prinzip Anbieter und Nutzer identisch sind, der Nutzer die komplette Kontrolle über die genutzten Services hat, überträgt der Nutzer bei einer Public Cloud die Kontrolle an den Cloud Computing Anbieter. 4.4.3 Technische und organisatorische Aspekte Cloud-Computing-Systeme der Cloud-Anbieter unterliegen bestimmten infrastrukturellen Rahmenbedingungen, deren Schutz bezüglich der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit gewährleistet werden muss. 5 Sicherheitsempfehlungen für Cloud Computing Anbieter, Bundesamt für Sicherheit in der Informationstechnik. 32 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Dieser Schutz orientiert sich an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten. Die Umsetzung der Schutzziele ist durch technische und organisatorische Maßnahmen abzusichern. Die wirksame Umsetzung der technischen und organisatorischen Maßnahmen ist schriftlich nachzuweisen.6 4.4.4 Bedrohungen bei Cloud-Diensten Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst Die Infrastruktur und die Cloud-Dienste des Cloud-Anbieters müssen von ihm gegen folgende Bedrohungen geschützt werden: Datenverlust bzw. Informationsabfluss Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud heraus. Ausfall der Internet- oder Netzverbindung, der den Zugriff auf Daten bzw. Anwendungen unmöglich macht. Denial-of-Service Angriffe auf Cloud-Anbieter, die sicher noch zunehmen werden. Fehler in der Cloud-Administration, die aufgrund der sehr hohen Komplexität zu erheblichen Sicherheitsproblemen führen (Dienstausfall, Datenverlust, etc.) können. Kleine Fehler oder Pannen können in einer Cloud-Infrastruktur große Auswirkungen (nicht nur auf die Sicherheit) haben. Bedrohungen bei der Nutzung von Cloud-Diensten Der Cloud-Nutzer ist insbesondere folgenden Bedrohungen ausgesetzt: Identitätsdiebstahl bzw. Missbrauch von Accounts Verlust der Kontrolle über die Daten und Anwendungen Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen) Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden. Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung) ausgespäht werden. Bedrohungen bei Einführung und Nutzung der Cloud Die oben genannten Bedrohungen treten auf, wenn der Cloud-Dienst angeboten und genutzt wird. Doch auch auf dem Weg in die Cloud lauern auf einen Cloud-Anwender weitere Gefahren. 6 Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014). 33 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 4.4.5 Es gibt keine Cloud-Strategie und deshalb sind die Ziele, die mittels Cloud Computing erreicht werden sollen, weder klar noch überprüfbar. Kritische Elemente im Einführungsprozess wurden aufgrund einer mangelhaften Planung übersehen, und das angedachte Cloud Projekt scheitert. Der Cloud Service ist ungenau definiert und es kommt zu Differenzen über die Servicequalität mit dem Cloud-Anbieter. Infolgedessen erhält der Cloud-Anwender entweder eine ungenügende Service-Qualität oder teure Nachbesserungen werden notwendig. Großer (politischer) Wille, Cloud Computing auf jeden Fall einzusetzen, führt zu illusorischen Annahmen und zu „geschönten“ Kosten-Nutzen-Analysen. Im Endeffekt kommt es zu finanziellen Einbußen. Der Weg in die Cloud kann sehr schwierig sein und es kann leicht übersehen werden, dass auch an einen Weg aus der Cloud heraus gedacht werden muss. Andernfalls entsteht eine starke Abhängigkeit vom Cloud-Anbieter, die finanziell von Nachteil sein kann. Flexibilität beziehen Cloud-Anbieter auf die innerhalb eines Service zur Verfügung gestellten Kapazitäten. Andere Wünsche der Cloud-Anwender können oft nicht erfüllt werden, eigene Eingriffsmöglichkeiten sind sehr begrenzt. Ein Cloud-Anbieter bezieht selbst häufig Dienste (z. B. Administration oder Backup von Daten) von Unterauftragnehmern. Dadurch können beispielsweise personenbezogene Daten an nicht erlaubte Stellen gelangen (was ggf. Bußgeld-bewährt ist) oder es kann dadurch ein Sicherheitszertifikat gefährdet werden, weil ein Auditor diesen Unterauftragnehmer nicht überprüfen kann. Notfall? Welcher Notfall? Die Cloud ist doch immer da und deshalb hat der Cloud-Anwender keinen Notfallplan.7 Einführung, Nutzung und Beendigung eines Cloud-Dienstes Die Gefahr, dass ein Cloud-Projekt scheitert, ist ohne ein strukturiertes Vorgehen deutlich erhöht. Zwar können in manchen Fällen ad-hoc eingeführte Cloud-Dienste erfolgreich genutzt werden, doch das ist eher die Ausnahme. Planung und Evaluierung dürfen aber nicht so umfangreich werden, dass das Ziel – die Nutzung von Cloud-Diensten und den damit einhergehenden Vorteilen – nicht erreicht werden kann. Um zu einer tragfähigen und auch wirtschaftlichen Entscheidung zu kommen, müssen die Ziele, die mit dem avisierten Cloud-Service ver7 Sichere Nutzung von Cloud-Diensten, Bundesamt für Sicherheit in der Informationstechnik. 34 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht knüpft sind, klar sein. Vonseiten des Cloud-Anwenders ist aber auch Flexibilität gefordert: in Bereichen der Funktionalität ebenso wie in der Sicherheit. Nicht alle Wünsche und Anforderungen werden sich realisieren lassen, da Cloud-Angebote meist stark standardisiert sind. Im Zuge der Evaluation von Cloud-Diensten muss klar werden, wie weit ein angebotener Service von den eigenen Zielen entfernt ist. Nur so lassen sich ggf. alternative Wege einschlagen.8 Das Bundesamt für Sicherheit in der Informationstechnologie gibt in seiner Publikation „Sichere Nutzung von Cloud-Diensten“ Empfehlungen zu einem sicheren Weg in die Cloud. https://www.bsi.bund.de/DE/Themen/CloudComputing/Dossiers/Anwe nder/AnwenderEinsteiger/Sichere_Nutzung_Cloud.html 4.4.6 Fazit Cloud Computing steht für vielfältige Möglichkeiten, Dienstleistungen zur Datenverarbeitung unter Verwendung des Internet oder anderer Wide Area Networks wie Konzernnetze oder die Landesnetze der Verwaltungen in Anspruch zu nehmen. Ob Public, Private, Community oder Hybrid Clouds, ob SaaS, PaaS oder IaaS: Allen Varianten gemein ist, dass die Anwender Leistungen von Anbietern in Anspruch nehmen, die über das jeweilige Netz erreicht werden können, die wegen ihrer Skalierbarkeit flexibel an den jeweils aktuellen Bedarf angepasst werden können und nach Verbrauch bezahlt werden. Bei allen Varianten unterschiedlich sind jedoch der Umfang und die Art der Dienstleistung, die Bestimmt- oder Unbestimmtheit der Verarbeitungsorte, die Einflussmöglichkeiten der Anwender auf die örtlichen, infrastrukturellen und qualitativen Rahmenbedingungen der Verarbeitung. Unterschiedlich sind auch die datenschutzrechtlichen und informationssicherheitstechnischen Anforderungen. Zu verlangen sind also mindestens - offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Anwender klare Entscheidungskriterien bei der Wahl zwischen den Anbietern haben, aber auch, ob Cloud Computing überhaupt in Frage kommt; - transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud gestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann; - die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender; 8 Sichere Nutzung von Cloud-Diensten, Bundesamt für Sicherheit in der Informationstechnik. 35 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht - 4.5 die Vorlage aktueller Zertifikate, die die Infrastruktur betreffen, die bei der Auftragserfüllung in Anspruch genommen wird, zur Gewährleistung der Informationssicherheit und der o. g. Portabilität und Interoperabilität durch anerkannte und unabhängige Prüfungsorganisationen.9 Datenschutzfreundlichere Browsereinstellungen Durch das Nutzen des Internets und seiner Vielzahl an Diensten fallen unzählige Informationen an, die gespeichert und ausgewertet werden. All diese Informationen stellen Spuren dar, die von den Endgeräten selbst, aber auch von den zum Datentransfer genutzten Serversystemen weiterverarbeitet werden. Beim Aufruf einer Website werden vom verwendeten Endgerät unter Umständen Informationen über die Einstellungen des genutzten Webbrowsers, Bildschirminformationen, Standortdaten, sowie die IPAdresse an den Webserver übermittelt. Der angesteuerte Webserver bietet Cookies an, die vom Webbrowser auf dem Endgerät gespeichert werden. Diese Cookies ermöglichen eine Wiedererkennung und somit eine Profilbildung des Internetbenutzers. Eventuell sind noch Formularfelder auf der jeweiligen Website auszufüllen oder es wird ein Login von der Website angefordert. Je nach Browsereinstellungen werden die eingegebenen Informationen sowie die eingegebenen Passwörter auf dem lokalen System abgespeichert. 4.5.1 Handreichung, Browser datenschutzfreundlicher einzustellen Um den Datenschutz im Umgang mit dem Internet zu erhöhen, bestehen Möglichkeiten, die jeweiligen Browsersysteme entsprechend zu konfigurieren. Allerdings stellen diese Einstellungen keine allumfassende Sicherheit dar, da auch z. B. beim anonymen Surfen Daten an Kommunikationspartner im Internet übermittelt werden. Vor diesem Hintergrund erstellte das Unabhängige Datenschutzzentrum Saarland eine Handreichung mit Tipps und Empfehlungen im Hinblick auf datenschutzfreundlichere Browsereinstellungen. Nachfolgend werden einige Themen der Handreichung vorgestellt. Nachverfolgung Beim Navigieren durch das Internet hinterlässt der Browser Informationen über sich, das verwendete IT-System und über die bisher besuchten Internetseiten. 9 Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014). 36 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Der Nutzer hinterlässt dadurch im Internet Spuren, die zu einem Nutzerprofil zusammengefasst werden können. Heutige Browser bieten Einstellungsmöglichkeiten an, die eine Nachverfolgung durch Websites vermindern. Das Unabhängige Datenschutzzentrum empfiehlt, den Browser so zu konfigurieren, dass die angesteuerten Websites die getätigten Aktivitäten nicht verfolgen. Cookies Websites bieten den zugreifenden Browsern kleine Dateien an, in denen sie Informationen abspeichern, die sogenannten Cookies. Diese bieten die Möglichkeit der eindeutigen Wiedererkennung des Benutzers. Sie werden oft zu Marketingzwecken eingesetzt, um unter anderem das Benutzerverhalten zu ermitteln und kundenspezifische Werbung anzubieten. Aus dem Grund, dass aus Datenschutzsicht die Erhebung von Benutzerinformationen nicht erforderlich ist und um einem Missbrauch entgegenzuwirken, empfiehlt das Unabhängige Datenschutzzentrum den Browser so zu konfigurieren, dass er keine Cookies abspeichert. Chronik, Verlauf Über die Chronik bzw. den Verlauf des Browsers können bereits besuchte Websites schnell wiedergefunden werden. Die Chronik birgt jedoch die Gefahr, dass Dritte Kenntnis z. B. über die besuchten Internetseiten erlangen. Um den Gefahren entgegenzuwirken wird empfohlen, den Browser so einzustellen, dass er keine Chronik bzw. keinen Verlauf anlegt. Pop-ups Beim Aufruf von Websites öffnen sich gelegentlich sogenannte PopUp-Fenster, die z. B. Produktwerbungen enthalten. Mit diesen Pop-ups besteht beispielsweise auch die Möglichkeit, einen schadhaften Code auf den Rechner des Benutzers einzuschleusen. Daher empfiehlt das Datenschutzzentrum, generell Pop-ups zu blockieren. Plug-ins und Add-ons Um den Browser mit weiteren Funktionalitäten auszustatten, werden kleine Programme zur Installation angeboten, die sogenannten Addons oder Plug-ins. Dadurch dass diese Software oftmals von Drittherstellen stammt, kann eine fehlerfreie Programmierung nicht garantiert werden. Ebenso lässt sich nicht feststellen, ob diese Erweiterungen Daten an die jeweiligen Hersteller übermitteln. 37 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Es wird empfohlen, vor der Installation von Browser-Erweiterungen zu überprüfen, ob sie notwendig sind und von welchen Anbietern die Software stammt. Darüber hinaus sollte der Browser so eingestellt werden, dass der Benutzer gewarnt wird, wenn Websites versuchen Add-ons zu installieren. Passwörter Eine besondere Gefahr für Datenschutz und Datensicherheit besteht darin, wenn der Browser Passwörter abspeichert. Diese sollten niemals abgespeichert werden, denn diese könnten in die falschen Hände geraten. Zum Beispiel könnte das verwendete Computersystem von einer Schadsoftware befallen sein, welche die gespeicherten Passwörter, mitsamt Benutzerdaten, an Unbefugte weiterleitet. Browser immer aktuell halten Die Browserentwickler arbeiten permanent an Aktualisierungen der Browsersoftware, einerseits um neue Funktionalitäten einzuprogrammieren, andererseits um entstandene Sicherheitslücken zu schließen. Um möglichen Gefahren, die durch fehlerhafte Browser entstehen entgegenzuwirken, empfiehlt das Datenschutzzentrum die eingesetzten Browser auf dem aktuellen Stand zu halten. Betrachtete Webbrowser Desktop Mozilla Firefox (Version 33.1), Microsoft Internet Explorer (Version 11), Google Chrome (Version 39.0.2171.71). Mobil Apple Safari (iOS 8), Google Browser (Android 4.2.2), Microsoft Internet Explorer (WindowsPhone 8.1). Die in der Handreichung behandelten Themen stellen Momentaufnahmen dar. Behandelt werden verschiedene gängige Webbrowser für Desktop-PCs, Smartphones und Tablets. Die Handreichung steht in Form einer Internetpräsentation unter www.datenschutz.saarland.de zur Verfügung. 38 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 5 Verfassungsschutz 5.1 Änderung des Saarländischen Verfassungsschutzgesetzes 5.1.1 Urteil des Bundesverfassungsgerichts zur Bestandsdatenauskunft Mit Beschluss vom 24. Januar 2012 (1 BvR 1299/05) hat das Bundesverfassungsgericht die Regelungen über das manuelle Auskunftsverfahren in § 113 des Telekommunikationsgesetzes (TKG) teilweise für verfassungswidrig erklärt. Gegenstand der Entscheidung war u.a. die in § 113 Abs. 1 Satz 1 TKG a. F. enthaltene Verpflichtung von Anbietern von Telekommunikationsdiensten, Bestandsdaten ihrer Kunden (d. h. Name und Anschrift des Anschlussinhabers, zugeteilte Rufnummer und andere Anschlusskennungen) den Strafverfolgungs- und Ermittlungsbehörden preiszugeben. Dies galt nach § 113 Abs. 1 Satz 2 TKG a.F. auch für Auskunftsverlangen hinsichtlich solcher Daten, mittels derer der Zugriff zu Endgeräten geschützt wird, wie Passwörter, PINs oder PUKs. Das Bundesverfassungsgericht hatte entschieden, dass die in dem bisherigen § 113 Abs. 1 Satz 1 TKG normierte Auskunftsverpflichtung der Telekommunikationsunternehmen in verfassungskonformer Auslegung mit dem Grundgesetz vereinbar ist. Voraussetzung für eine zulässige Datenübermittlung sei allerdings, dass den abrufberechtigten Behörden eigenständige und normklare Erhebungsbefugnisse zustünden. Ein Datenaustausch vollziehe sich nämlich durch einander korrespondierende Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen. Beide Rechtsgrundlagen gemeinsam, die wie eine Doppeltür zusammenwirken müssen, berechtigen zu einem Austausch personenbezogener Daten („Doppeltürenmodell“). Zum anderen dürfe die Vorschrift - mangels entsprechender normenklarer Regelung in Anbetracht des damit verbundenen Eingriffs in das Fernmeldegeheimnis des Artikel 10 Abs. 1 Grundgesetz (GG) - nicht zur Zuordnung dynamischer IP-Adressen angewendet werden. Außerdem hatte das Gericht entschieden, dass die Regelung des § 113 Abs. 1 Satz 2 TKG insoweit verfassungswidrig ist, als sie Auskünfte über Zugangscodes unabhängig davon erlaube, ob den empfangenden Behörden überhaupt eine Befugnis zu deren Nutzung zukomme. Das Bundesverfassungsgericht gestand den Gesetzgebern und Behörden allerdings eine Übergangsfrist bis zum 30. Juni 2013 zu; bis zu diesem Zeitpunkt durften die genannten Behörden Auskünfte über den Inhaber dynamischer IP-Adressen sowie über Zugangscodes aufgrund der bisherigen Regelung verlangen und erhalten, sofern im Falle eines Auskunftsersuchens über Zugangscodes eine einzelfallbezogene Befugnis zu deren Nutzung vorlag. Das aufgrund dieser Entscheidung verabschiedete Gesetz zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestands- 39 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht datenauskunft ist zum 1. Juli 2013 in Kraft getreten (BGBl. I S. 1602). Durch dieses Gesetz werden die Anforderungen des Bundesverfassungsgerichts sowohl durch Änderung des TKG umgesetzt als auch die geforderten spezifischen Erhebungsbefugnisse in den bundesrechtlichen Fachgesetzen geregelt. 5.1.2 Anpassung des Saarländischen Verfassungsschutzgesetzes Da die Gesetzgebungskompetenz für den Bereich des Gefahrenabwehrrechts bei den Ländern liegt, waren durch den Landesgesetzgeber sowohl im Saarländischen Verfassungsschutzgesetz als auch im Saarländischen Polizeigesetz (s. Kapitel 7.1) die für eine Bestandsdatenauskunft erforderlichen Erhebungsbefugnisse zu schaffen. In einem erst nach Ablauf der vom Bundesverfassungsgericht vorgegebenen Umsetzungsfrist von den Regierungsfraktionen eingebrachten Gesetzentwurf sollten dem saarländischen Landesamt für Verfassungsschutz in Bezug auf die Erhebung der Bestandsdaten die gleichen Befugnisse eingeräumt werden, wie sie die Neuregelung im Bundesrecht auch dem Bundesamt für Verfassungsschutz zugesteht. Aus diesem Grunde enthielt die entsprechende Vorschrift im Gesetzentwurf lediglich pauschale Verweise auf die Regelung in § 8d des Bundesverfassungsschutzgesetzes (BVerfSchG). Im Rahmen der Beteiligung unserer Dienststelle im parlamentarischen Verfahren wurde darauf hingewiesen, dass die beabsichtigte Ausgestaltung dieser Abfrageermächtigung dem Gebot der Normenklarheit und Normenbestimmtheit nicht gerecht wird, da sich die tatbestandlichen Voraussetzungen und der Umfang der geregelten Maßnahmen dem Wortlaut des Entwurfes nicht eindeutig entnehmen ließen; insbesondere war auch die Reichweite der Verweisung auf § 8d BVerfSchG nicht hinreichend klar. Aus diesem Grunde haben wir eine Neuformulierung der betreffenden Vorschrift im Gesetzentwurf als erforderlich angesehen. Neben weiteren, dem Schutz der Betroffenen dienenden Verfahrensregelungen haben wir insbesondere auch eine Pflicht zur Benachrichtigung der Betroffenen im Anschluss an Auskunftsverfahren über Zugangssicherungscodes und über die Zuordnung von dynamischen IP-Adressen eingefordert. Denn nur durch eine nachträgliche Benachrichtigung wird den Betroffenen die Möglichkeit eröffnet, zumindest im Nachgang des Auskunftsverfahrens dieses gerichtlich auf seine Rechtmäßigkeit hin überprüfen zu lassen. Ebenso wurde es unsererseits als erforderlich angesehen, bei einer Auskunft über die Zuordnung von dynamischen IPAdressen die G 10-Kommission zu beteiligen, da die Telekommunikationsunternehmen für die Identifizierung einer dynamischen IP-Adresse die entsprechenden Verbindungsdaten ihrer Kunden sichten und somit auf konkrete, vom Schutzbereich des Art. 10 GG umfasste Telekommunikationsvorgänge zugreifen müssen. Die letztlich durch das Parlament verabschiedete Fassung der Regelung enthält nunmehr nicht lediglich einen Verweis auf § 8d BVerfSchG, sondern regelt die Voraussetzungen für den Abruf der Bestandsdaten. Inhaltlich ist die Norm der Vorschrift des § 8d BVerfSchG angelehnt und enthält auch die geforderte Verpflichtung zur Benachrichtigung. Auf 40 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht eine Beteiligung der G 10-Kommission bei Auskünften über den Inhaber einer IP-Adresse wurde jedoch verzichtet. Ebenso wie sämtliche Bundes- und auch die Mehrzahl der Landesnormen, die die Erhebung von Zugangssicherungscodes regeln, sieht das Gesetz vor, dass diese Auskunft nur verlangt werden kann, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen. Welches die gesetzlichen Voraussetzungen für die Nutzung von Zugangssicherungscodes sind, wird jedoch nicht definiert. Neben der Regelung über die Durchführung einer Bestandsdatenauskunft wurden mit dem Gesetzentwurf auch die Vorschriften für die akustische Wohnraumüberwachung an die Rechtsprechung des Bundesverfassungsgerichts angepasst, eine rechtliche Grundlage für den Einsatz des sog. IMSI-Catchers geschaffen sowie die Regelungen der parlamentarischen Kontrolle des Verfassungsschutzes überarbeitet. In unserer Stellungnahme wurde hinsichtlich der Befugnis zur Durchführung einer akustischen Wohnraumüberwachung darauf hingewiesen, dass nach der Formulierung in dem Gesetzentwurf – wie auch bereits in der geltenden Fassung des Gesetzes - eine Wohnraumüberwachung bereits dann zulässig ist, wenn tatsächliche Anhaltspunkte für den Verdacht verfassungsfeindlicher Bestrebungen vorliegen. Damit knüpfe die Vorschrift nicht an eine absehbare konkrete Gefahr, sondern an einen Eingriffsanlass im Vorfeld einer solchen Gefahr an. Da eine Wohnraumüberwachung jedoch einen besonders intensiven Eingriff in das Grundrecht der Unverletzlichkeit der Wohnung nach Art. 13 GG darstellt, genügt eine gesetzliche Regelung, die zu einem solchen heimlichen Eingriff berechtigt, nur dann dem Grundsatz der Verhältnismäßigkeit, wenn bestimmte Tatsachen auf eine im Einzelfall drohende Gefahr für ein überragend wichtiges Rechtsgut hinweisen, selbst wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr schon in näherer Zukunft eintritt. Diesem Kritikpunkt wurde durch eine Neuformulierung der Eingriffsschwelle Rechnung getragen. Durch die in das Gesetz aufgenommenen Regelungen zur Verwertung von Gesprächsinhalten, die sich auf den Kernbereich privater Lebensgestaltung beziehen, wird der Rechtsprechung des Bundesverfassungsgerichts in seiner Entscheidung zur akustischen Wohnraumüberwachung Rechnung getragen. In dem Gesetz wurden die in diesem Zusammenhang geäußerten datenschutzrechtlichen Bedenken im Wesentlichen berücksichtigt. Allerdings beziehen sich die getroffenen Vorkehrungen allein auf Überwachungsmaßnahmen innerhalb des Schutzbereichs des Artikels 13 GG. Da aber auch bei der Durchführung von Telekommunikationsüberwachungsmaßnahmen hinreichende Vorkehrungen dafür zu treffen sind, dass Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung unterbleiben, hätte es auch hier dringend einer gesetzlichen Regelung bedurft. Eine solche wurde vom Landesgesetzgeber jedoch nicht umgesetzt. Schließlich wurden auch die im Gesetzentwurf noch unklaren und unbestimmten Vorschriften bezüglich des Umgangs mit den durch die Maßnahme gewonnenen Daten sowie der Benachrichtigung der von der Maßnahme betroffenen Personen in dem schließlich verabschiedeten Gesetz konkretisiert, so dass sie nunmehr die Anforderungen an die Klarheit und Bestimmtheit von Rechtsnormen erfüllen. 41 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Leider nicht berücksichtigt wurden unsere Anregungen und Einwände in Bezug auf die Regelungen über die parlamentarische Kontrolle. Bisher sah § 23 Abs. 4 des Saarländischen Verfassungsschutzgesetzes (SVerfSchG) vor, dass der für die parlamentarische Kontrolle der Tätigkeit des Landesamtes für Verfassungsschutz zuständige Ausschuss für Fragen des Verfassungsschutzes seine Tätigkeit über das Ende der Wahlperiode des Landtages hinaus bis zur Bestimmung eines neuen Ausschusses durch den neuen Landtag ausübte. Aufgrund verfassungsrechtlicher Bedenken wurde diese Regelung aufgehoben, so dass nunmehr auch dieser Ausschuss der Diskontinuität unterliegt. Allerdings steht die jetzige Rechtslage nicht in Einklang mit den Vorschriften des SVerfSchG über die parlamentarische Kontrolle. Hiernach ist der Ausschuss nämlich vierteljährlich über bestimmte Maßnahmen zu unterrichten. Da es nach den Regelungen der Saarländischen Verfassung nach einer Landtagswahl bis zur Regierungsbildung und damit bis zur Zusammensetzung der Ausschüsse aber bis zu vier Monate dauern kann, kann dies dazu führen, dass die gesetzlich vorgegebene parlamentarische Kontrolle nicht mehr sichergestellt ist. Ebenfalls nicht aufgegriffen wurden unsere Forderungen nach mehr Transparenz der nachrichtendienstlichen Aktivitäten gegenüber dem Parlament sowie nach einer Stärkung der parlamentarischen Kontrollgremien. Verloren gegangenes Vertrauen in die nicht zuletzt im Zusammenhang mit den Taten des rechtsextremistischen Nationalsozialistischen Untergrunds (NSU) in die Kritik geratene Tätigkeit der Sicherheitsbehörden kann unserer Auffassung nach nur durch mehr Offenheit und eine bessere parlamentarische Kontrolle zurückgewonnen werden. Im Zuge einer solchen künftigen Gesetzesänderung sollten daher die Kontrollbefugnisse des Ausschusses für Fragen des Verfassungsschutzes ausgeweitet und eine Pflicht zur regelmäßigen Berichterstattung des Ausschusses über seine Kontrolltätigkeit an den Saarländischen Landtag festgelegt werden. Schließlich haben wir in dem laufenden Gesetzgebungsverfahren darauf hingewiesen, dass weitere Anpassungen des Verfassungsschutzgesetzes an die Rechtsprechung des Bundesverfassungsgerichts dringend erforderlich sind. Es bleibt zu hoffen, dass die notwendigen Änderungen baldmöglich durch den Gesetzgeber auf den Weg gebracht werden. Das Gesetz wurde am 12. November 2014 durch den Landtag beschlossen und ist am 19. Dezember 2014 in Kraft getreten. 42 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 6 Justiz 6.1 Saarländisches Strafvollzugsgesetz Im Zuge der im Jahre 2006 verabschiedeten Föderalismusreform ist die Gesetzgebungskompetenz für den Justizvollzug auf die Länder übergegangen. Im Berichtszeitraum erfolgte in Wahrnehmung dieser Gesetzgebungsbefugnis die Verabschiedung eines Erwachsenenstrafvollzugsgesetzes. Im Rahmen dieses Gesetzgebungsverfahrens wurden auch einige Regelungen des bereits 2009 in Kraft getretenen Saarländischen Untersuchungshaftvollzugsgesetzes und des Jugendstrafvollzugsgesetzes aus dem Jahre 2010 den neuen Regelungen für den Erwachsenenvollzug angepasst. Im Rahmen der Beteiligung unserer Dienststelle an dem Verfahren haben wir auf einige datenschutzrechtliche Defizite in dem Gesetzentwurf hingewiesen, die jedoch bedauerlicherweise nur in wenigen Bereichen Berücksichtigung gefunden haben. Wie schon im Saarländischen Untersuchungshaftvollzugsgesetz und im Saarländischen Jugendstrafvollzugsgesetz ist es auch vorliegend zu beanstanden, dass es das Gesetz zulässt, bei unüberwindlichen sprachlichen Verständigungsschwierigkeiten bei der Aufnahme eines neuen Gefangenen in der Anstalt einen anderen Gefangenen zu dem Zugangsgespräch hinzuzuziehen. Ein anderer - wenn auch zuverlässiger Gefangener ist jedoch grundsätzlich nicht befugt, die sensiblen personenbezogenen Daten des aufzunehmenden Gefangenen, die zwangsläufig in einem Zugangsgespräch erörtert werden, zur Kenntnis zu nehmen. Soweit es das Gesetz erlaubt, erkennungsdienstliche Unterlagen aller Gefangenen auch in kriminalpolizeilichen Sammlungen vorsorglich zu verwahren, um – entsprechend der Gesetzesbegründung - die Fahndung nach abgängigen Gefangenen zu beschleunigen, widerspricht diese Befugnis dem Grundsatz der Datensparsamkeit, da für diesen – sehr selten eintretenden Fall - eine spezielle Befugnis zur Übermittlung der Daten an die zuständigen Stellen ausreichend wäre. Im Rahmen der Datenschutzprüfung der Justizvollzugsanstalt Saarbrücken im Jahre 2012 (24. Tätigkeitsbericht, 5.1.4) wurde eine Vielzahl von Videoüberwachungsanlagen in der Anstalt vorgefunden, allerdings fehlte zumindest für die durch die Anstalt vorgenommene Speicherung von Aufnahmen eine bereichsspezifische rechtliche Grundlage. Dass nunmehr eine ausdrückliche Regelung für den Einsatz von Videoüberwachungsanlagen verabschiedet worden ist, ist ausdrücklich zu begrüßen, allerdings ist die in dem Gesetz vorgesehene Speicherdauer von vier Wochen unverhältnismäßig lang. Um den mit der Speicherung personenbezogener Daten verbundenen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen so gering wie möglich zu halten, müssen die erhobenen Daten dann gelöscht werden, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Nach dem Gesetzeswortlaut ist es der Zweck der Speicherung, die Sicherheit der Anstalt zu gewährleisten. Zur Feststellung, ob es tatsächlich 43 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht zu Vorfällen gekommen ist, die die Sicherheit der Anstalt beeinträchtigt haben, wird ein Zeitraum von maximal 48 Stunden als ausreichend anzusehen sein. Eine längerfristige Speicherung stellt hingegen eine unzulässige Datensammlung auf Vorrat dar. 6.2 Verordnung über die elektronische Aktenführung in Bußgeldverfahren In dem vorangegangenen Tätigkeitsbericht (24. Tätigkeitsbericht, Ziffer 9.2) haben wir angemahnt, dass die Zentrale Bußgeldbehörde die Akten der Verkehrsordnungswidrigkeitenverfahren im Wesentlichen bereits in elektronischer Form führt, das Saarland aber bislang noch nicht von seiner Ermächtigung zum Erlass der erforderlichen Rechtsverordnung für die elektronische Aktenführung nach § 110b Abs. 1 Satz 2 Ordnungswidrigkeitengesetz (OWiG) Gebrauch gemacht hat. Im Berichtszeitraum hat die Landesregierung nunmehr diese erforderliche Grundlage für eine elektronische Aktenführung in Bußgeldverfahren erlassen (Amtsbl. 2014, 147). Dabei wurde die Forderung der Landesbeauftragten in Bezug auf die Zweckbindung der gespeicherten Daten, die Gewährleistung von Zugriffsbeschränkungen und die Sicherstellung der Verfügbarkeit der Daten aufgegriffen. 6.3 Einführung eines bundesweiten Vollstreckungsportals Mit dem Gesetz zur Reform der Sachaufklärung in der Zwangsvollstreckung (BGBl. I S. 2258) wurden im Jahre 2009 die rechtlichen Voraussetzungen dafür geschaffen, dass der Inhalt der Schuldnerverzeichnisse über eine zentrale länderübergreifende Abfrage im Internet eingesehen werden kann. Seit dem 1. Januar 2013 ist das Gemeinsame Vollstreckungsportal der Länder (www.vollstreckungsportal.de) verfügbar. Hier werden die bundesweiten Daten aus den Schuldnerverzeichnissen zum kostenpflichtigen Abruf bereitgestellt. Für jedes Bundesland wurde ein zentrales Vollstreckungsgericht eingerichtet. Die Einzelheiten der Einsichtnahme sollten vom Bundesministerium der Justiz durch eine Rechtsverordnung geregelt werden. Ein erster Entwurf genügte jedoch nicht den gebotenen datenschutzrechtlichen Anforderungen. Vorgesehen war, dass bereits bei der Suche mit einem Nachnamen und dem zuständigen Vollstreckungsgericht eine Trefferliste mit allen Personen angezeigt werden sollte, auf die beide Kriterien zutreffen. Dies hätte dazu geführt, dass die anfragende Person Informationen über Schuldner erhielte, für deren Kenntnis kein berechtigtes Interesse besteht. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte daher in einer Entschließung vom 07. Februar 2012 gefordert, bei der Regelung der Einsicht in das Schuldnerverzeichnis die Angabe weiterer Identifizierungsmerkmale zwingend vorzusehen. 44 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht „Schuldnerverzeichnis im Internet: Anzeige von Schuldnerdaten nur im Rahmen der gesetzlich legitimierten Zwecke Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert das Bundesministerium der Justiz auf, für einen besseren Datenschutz bei der geplanten Internetabfrage aus dem Schuldnerverzeichnis Sorge zu tragen. Es sollen möglichst nur diejenigen Personen angezeigt werden, auf die sich der Abfragezweck bezieht. Wer eine Wohnung vermieten oder einen Ratenkredit einräumen will, möchte wissen, ob sein zukünftiger Schuldner Zahlungsschwierigkeiten hat. Er hat unter bestimmten Voraussetzungen ein legitimes Interesse an der Einsicht in das von den zentralen Vollstreckungsgerichten geführte Schuldnerverzeichnis. So können sich mögliche Geschäftspartner darüber informieren, ob ihr Gegenüber in wirtschaftliche Not geraten ist. Mit dem Gesetz zur Reform der Sachaufklärung in der Zwangsvollstreckung aus dem Jahr 2009 will der Gesetzgeber die Stellung des Gläubigers stärken. Das Gesetz sieht unter anderem vor, dass der Inhalt des Schuldnerverzeichnisses ab dem 01.01.2013 über eine zentrale und länderübergreifende Abfrage im Internet eingesehen werden kann. Die Ausgestaltung der damit wesentlich erleichterten Einsicht wird derzeit vom Bundesministerium der Justiz durch eine Rechtsverordnung im Einzelnen vorbereitet. Die gesetzliche Regelung erlaubt Privatpersonen die Einsicht in das Schuldnerverzeichnis nur für bestimmte Zwecke, die bei einer Anfrage darzulegen sind, zum Beispiel, um wirtschaftliche Nachteile abzuwenden, die daraus entstehen können, dass Schuldner ihren Zahlungsverpflichtungen nicht nachkommen. Dennoch ist es derzeit vorgesehen, dass bereits nach Eingabe eines Nachnamens und des zuständigen Vollstreckungsgerichts eine Ergebnisliste mit allen Personen angezeigt wird, auf die diese beiden Kriterien zutreffen. Da Vollstreckungsgerichte jeweils zentral für ein Bundesland eingerichtet sind, erhielte die anfragende Person bei einer Vielzahl von zu erwartenden Namensgleichheiten auch Einsicht zu Angaben über Schuldner, deren Kenntnis sie zum angestrebten Zweck nicht benötigt. Es ist zu befürchten, dass beispielsweise Vermieter Mietinteressenten nicht berücksichtigen, weil im Schuldnerverzeichnis namensgleiche Personen stehen und es ihnen zu mühsam oder zu schwierig erscheint, anhand weiterer Angaben zu prüfen, ob es sich beim Mietinteressenten tatsächlich um eine der eingetragenen Personen handelt. Auch aus der Sicht der Gläubiger ist die Anzeige von derart umfangreichen Ergebnislisten wenig hilfreich, denn um den auf die Anfrage bezogenen Datensatz aus der Liste auswählen zu können, müssen ohnehin weitere Daten wie zum Beispiel der Vorname bekannt sein. Da es für Geschäftspartner erforderlich ist, mehr als nur den Nachnamen und den Sitz des zuständigen Vollstreckungsgerichts voneinander zu kennen, ist es auch nicht unangemessen, eine Einsicht von vornherein von weiteren Angaben abhängig zu machen. Aus Sicht des Datenschutzes ist eine Anzeige von Schuldnerdaten, die nicht vom legitimen Abfragezweck erfasst werden, zu vermeiden. Deshalb halten es die Datenschutzbeauftragten des Bundes und der Länder für notwendig, bei der Regelung der Einsicht in das Schuldnerverzeich- 45 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht nis die zwingende Angabe weiterer Identifizierungsmerkmale vorzusehen.“ Die schließlich vom Bundesministerium der Justiz erlassene Schuldnerverzeichnisführungsverordnung (SchuFV) hat dieser Forderung Rechnung getragen. Für eine Übermittlung von Daten an einen Nutzer müssen der Name und Vorname oder die Firma des Schuldners und der Sitz des zuständigen zentralen Vollstreckungsgerichts oder der Wohnsitz des Schuldners oder das Geburtsdatum oder der Ort, an dem der Schuldner seinen Sitz hat, angegeben werden. Sofern zu einer Abfrage mehrere Datensätze vorhanden sind, muss der Nutzer zusätzlich auch das Geburtsdatum des Schuldners eingeben. Sollten danach wiederum mehrere Datensätze vorhanden sein, ist zudem die Angabe des Geburtsortes des Schuldners erforderlich. Erste bundesweite Erfahrungen in der Praxis haben gezeigt, dass die bisherige Regelung des § 8 SchuFV zu zahlreichen Falschmeldungen führt. Zum großen Teil ist dies auf das verlangte Identifikationsdatum „Geburtsort“ zurückzuführen, da dieses Datum bei Eintragung in das Schuldnerverzeichnis häufig nicht vorliegt und auch nicht ermittelt werden kann. Auch die Angabe des Sitzes des zentralen Vollstreckungsgerichts wird teilweise für überflüssig gehalten, da hierdurch die Trefferwahrscheinlichkeit nur unwesentlich erhöht werde. Die geplante Änderung ist aber bislang nicht in Kraft getreten. Ob sich die Änderung des Suchsystems bewährt, wird im Rahmen einer weiteren Evaluierung zu prüfen sein. 6.4 Fortlaufender Bezug von Vollabdrucken aus dem Schuldnerverzeichnis Bis zum 1. Januar 2013 oblag die Führung des Schuldnerverzeichnisses den Amtsgerichten als Vollstreckungsgerichte. Aufgrund des Gesetzes zur Reform der Sachaufklärung in der Zwangsvollstreckung (BGBl. I S. 2258) wird das Schuldnerverzeichnis mittlerweile landesweit bei dem zentralen Vollstreckungsgericht, das im Saarland bei dem Amtsgericht Saarbrücken eingerichtet wurde, geführt. Die Einsicht in das Schuldnerverzeichnis ist nach § 882f Zivilprozessordnung (ZPO) jedem gestattet, der darlegt, die dort gespeicherten Angaben zu den in der Vorschrift aufgeführten Zwecken, wie beispielsweise zur Zwangsvollstreckung, zu benötigen. Nach § 882g Abs. 2 Nr. 3 ZPO können u.a. Antragstellern, deren berechtigtem Interesse durch Einzeleinsicht in die Länderschuldnerverzeichnisse nicht hinreichend Rechnung getragen werden kann, auf Antrag Abdrucke zum laufenden Bezug aus dem Schuldnerverzeichnis erteilt werden. Seit Inkrafttreten der Regelung zur Einführung des Zentralen Vollstreckungsgerichts haben sich mehrere Beschwerdeführer an die Landesbeauftragte für Datenschutz gewandt, da sie im Rahmen von Selbstauskünften aus dem Schuldnerverzeichnis festgestellt hatten, dass einer bestimmten Gemeinde Abdrucke aus dem Schuldnerverzeichnis auch über ihre Person erteilt worden sind. Da die Betroffenen in keinerlei Beziehung zu dieser Kommune standen und die Kommune auch keine offenen Forderungen ihnen gegenüber hatte, waren sie der Ansicht, die 46 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Übermittlung der Angaben aus dem Schuldnerverzeichnis sei zu Unrecht erfolgt. Auf Nachfragen teilten das Zentrale Vollstreckungsgericht und die betroffene Gemeinde mit, dass der Gemeinde bereits nach dem bis zum 1. Januar 2013 geltenden Recht die Bewilligung des laufenden Bezugs von Abdrucken aus dem Schuldnerverzeichnis bezogen auf das Vollstreckungsgericht, in dessen Amtsgerichtsbezirk die Gemeinde liegt, erteilt worden sei. Nach Inkrafttreten der Neuregelung sei dem Antrag der Gemeinde auf Bewilligung des laufenden Bezugs von Vollabdrucken aus dem Schuldnerverzeichnis für Zwecke der Zwangsvollstreckung stattgegeben worden. Ein besonderes Bedürfnis an dem laufenden Bezug von Abschriften wurde durch die Gemeinde nicht geltend gemacht. Gegenüber dem Zentralen Vollstreckungsgericht als der bewilligenden Stelle haben wir darauf hingewiesen, dass weder erkennbar ist noch von der Gemeinde dargelegt wurde, weshalb sie in einem derart großen Umfang Informationen aus dem Länderschuldnerverzeichnis benötigt. Bereits aus der Gesetzesbegründung zu § 882g ZPO (BT-Drs. 16/10069) ergibt sich, dass bei Verwaltungsbehörden ein berechtigtes Interesse am Bezug nicht schon vermutet wird. Vielmehr führt die Gesetzesbegründung aus, dass die Voraussetzungen für Zwecke der Zwangsvollstreckung regelmäßig nur dann vorliegen, wenn eine Verwaltungsbehörde in großem Umfang Informationen aus dem Schuldnerverzeichnis benötigt. Zwar ist die Gemeinde auch Vollstreckungsgläubigerin, bei einer Einwohnerzahl von unter 15.000 Einwohnern kann indes nicht angenommen werden, dass regelmäßig eine besonders große Anzahl von Informationen aus dem Schuldnerverzeichnis benötigt wird. Vielmehr ist davon auszugehen, dass ihren Bedürfnissen auch durch Einzeleinsichten Rechnung getragen werden kann. Besteht jedoch kein Bedürfnis für einen laufenden Bezug von Abdrucken aus dem Schuldnerverzeichnis, erfolgt die Übermittlung der großen Anzahl von für die Gemeinde nicht erforderlichen Daten insoweit ohne eine ausreichende Rechtsgrundlage. Dem Interesse der Gemeinde, bei Bedarf jederzeit in das Schuldnerverzeichnis Einsicht nehmen zu können, könnte auch durch eine gesonderte Registrierung für Behörden nach § 7 Schuldnerverzeichnisführungsverordnung Rechnung getragen werden. Mit Blick auf diese Rechtslage haben wir den Präsidenten des Amtsgerichts um Prüfung gebeten, ob vorliegend eine Rücknahme der Bewilligung zum laufenden Bezug von Abdrucken aus dem Schuldnerverzeichnis in Erwägung gezogen wird. Hierauf teilte der Präsident des Amtsgerichts mit, dass die Gemeinde auf den bewilligten Bezug von Abdrucken aus dem Schuldnerverzeichnis mit sofortiger Wirkung verzichtet habe. Damit ist sichergestellt, dass die Gemeinde zukünftig nur noch in den für sie erforderlichen Fällen Einblick in das Schuldnerverzeichnis erhält und hiermit das informationelle Selbstbestimmungsrecht der in das Schuldnerverzeichnis Eingetragenen gewahrt bleibt. 47 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 6.5 Tätigwerden einer Hilfsperson im Schiedsverfahren Eine Gemeinde ist an die Landesbeauftragte für Datenschutz mit der Frage herangetreten, ob es zulässig sei, dass eine Mitarbeiterin der Kommune auch die Sachbearbeitung für eine Schiedsperson übernehme. Deren Tätigkeit im Rahmen des Schiedsverfahrens umfasse die Entgegennahme von Anträgen, die Anforderung und Zusammenstellung der erforderlichen Unterlagen, die Erstellung von Kostenrechnungen, Protokoll- und Kassenbuchführung sowie die Fertigung der Abschlussberichte für das Amtsgericht. Nach den Vorschriften der Saarländische Schiedsordnung ist für jede Gemeinde zur Schlichtung streitiger Rechtsangelegenheiten eine Schiedsfrau oder ein Schiedsmann zu bestellen, die ehrenamtlich tätig sind und die der Verschwiegenheitsverpflichtung unterliegen. Die Sachkosten des Amtes der Schiedspersonen tragen die Gemeinden. Im Rahmen der geschilderten Tätigkeiten zur Unterstützung der Aufgaben der Schiedsperson werden zahlreiche, zum Teil auch sensible personenbezogene Daten von den am Schlichtungsverfahren beteiligten Parteien verarbeitet. Nach § 4 des Saarländischen Datenschutzgesetzes (SDSG) ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder die oder der Betroffene eingewilligt hat. Die Saarländische Schiedsordnung enthält keine Regelung, die es der Schiedsperson erlaubt, sich zur Erfüllung ihrer Aufgaben einer Hilfsperson zu bedienen. Die Tatsache, dass die Schiedsordnung ausdrücklich auch nur eine Erstattung von Sachkosten regelt, belegt zudem, dass das Anfallen von Personalkosten nicht vorgesehen ist. Die Aufgabenübertragung einschließlich der hierbei anfallenden Verarbeitung personenbezogener Daten kann auch nicht auf der Grundlage einer Auftragsdatenverarbeitung nach § 5 SDSG auf Mitarbeiter der Gemeinde übertragen werden. Denn hierbei würde es sich nicht um eine Datenübertragung im technischen Sinne, sondern um eine teilweise inhaltliche Zuständigkeitsverlagerung handeln. Eine solche Übertragung einer hoheitlichen Tätigkeit ist ohne eine gesetzliche Regelung nicht zulässig. Da die hier heranzuziehenden Rechtsvorschriften die Möglichkeit der Hinzuziehung von Hilfskräften für die Bearbeitung der Verfahren gerade nicht vorsehen, kann die fehlende gesetzliche Befugnis schließlich auch nicht durch eine jeweils individuell zu erteilende Einwilligung der Betroffenen zur Verarbeitung ihrer personenbezogenen Daten durch Dritte umgangen werden. Dies insbesondere auch deshalb, weil die Schiedsfrau oder der Schiedsmann durch die Schiedsordnung zur Amtsverschwiegenheit verpflichtet ist, diese Verschwiegenheitspflicht nicht aber auch für eine Hilfsperson gelten würde. Das von einem Gemeindebediensteten zu wahrende Datengeheimnis bezüglich aller im Rahmen dieser Tätigkeit zur Kenntnis gelangten personenbezogenen Daten beinhaltet keine Verschwiegenheitspflicht für sonstige außerdienstliche Tätigkeiten wie sie hier beabsichtigt sind. Daher musste der Gemeindeverwaltung mitgeteilt werden, dass eine Verarbeitung von im Schiedsverfahren anfallender personenbezogener Daten durch Mitarbeiter der Gemeindeverwaltung nach der derzeitigen 48 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Rechtslage datenschutzrechtlich unzulässig ist. Dem durchaus nachvollziehbaren Interesse der Schiedspersonen, sich für die Erfüllung ihrer Aufgaben einer Hilfsperson zu bedienen, kann nur durch eine Änderung der Schiedsordnung Rechnung getragen werden. 49 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 7 Polizei 7.1 Gesetz zur Änderung des Polizeirechts Bereits im Jahre 2011 wurde unserer Dienststelle ein Referentenentwurf zur Änderung des Saarländischen Polizeigesetzes (SPolG) und des Saarländischen Verfassungsschutzgesetzes (SVerfG) zur Stellungnahme übersandt. Dieser Gesetzentwurf wurde allerdings nicht weiter verfolgt. Erst Anfang 2014 wurde uns ein neuer, deutlich umfangreicherer Referentenentwurf für ein Polizeirechtsänderungsgesetz zur Stellungnahme im Rahmen der externen Anhörung vorgelegt, durch den unter anderem das Saarländische Polizeigesetz (SPolG) sowie die Verordnung über die Zulassung der Informationsübermittlung von der Polizei an ausländische Polizeibehörden geändert werden sollte. Ein großer Teil der in unserer umfangreichen Stellungnahme geäußerten datenschutzrechtlichen Kritikpunkte und Anregungen wurde aufgegriffen und fand Niederschlag in dem im Mai 2014 dem Parlament zur Beratung vorgelegten Gesetzentwurf (LT-Drs. 15/899). Neu in das SPolG eingefügt wurde neben einer Befugnis zur Aufzeichnung eingehender Notrufe zur Dokumentation des Notfallgeschehens auch eine Befugnis zur Aufzeichnung sonstiger Anrufe, soweit dies zur Gefahrenabwehr erforderlich ist. Unserer Forderung, in der Vorschrift deutlich zum Ausdruck zu bringen, dass eine Aufzeichnung solcher Anrufe nur im Einzelfall erfolgen darf, wurde nicht nachgekommen. Zumindest wurde aber die Vorschrift dahingehend ergänzt, dass der Anrufer – soweit nicht der Zweck der Aufzeichnung gefährdet wird - auf die Aufzeichnung hinzuweisen ist. Erstmals enthält das Polizeigesetz nunmehr eine Legaldefinition der Begriffe Observation und längerfristige Observation. Zudem ist die Einführung eines zusätzlichen Richtervorbehalts beim Einsatz einer längerfristigen Observation und eine zeitliche Befristung dieser richterlichen Anordnung für zunächst drei Monate normiert. Soweit die Voraussetzungen fortbestehen, kann die Anordnung wiederholt um bis zu drei Monate verlängert werden. Angesichts des mit der längerfristigen Observation verbundenen erheblichen Grundrechtseingriffs in das informationelle Selbstbestimmungsrecht und das Persönlichkeitsrecht des Betroffenen haben wir jedoch beanstandet, dass keine zeitliche Höchstdauer für wiederholende Anordnungen vorgesehen ist. Im Zuge der Novellierung des Polizeigesetzes wurde im Sinne des vom Bundesverfassungsgericht (BVerfG) entwickelten sog. Doppeltürenmodells (Beschluss vom 24. Januar 2012 - BvR 1299/05 – (s.a. Kapitel 5.1.1) für eine manuelle Bestandsdatenauskunft eine sich auf die Datenübermittlungsbefugnis der Telekommunikationsanbieter nach § 113 Telekommunikationsgesetz (TKG) beziehende gesetzliche Abfragegrundlage für die Polizei geschaffen. Diese Erhebungsbefugnis entspricht im Wesentlichen den (Mindest-)Anforderungen des Verfassungsgerichts. Allerdings sieht die Vorschrift vor, dass die Erhebung der in § 113 Abs. 1 Satz 2 TKG genannten Zugangsdaten nur dann verlangt werden kann, wenn auch die Voraussetzungen für deren Nutzung gegeben sind. Mit 50 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht dieser Formulierung übernimmt das Gesetz nur diese abstrakt formulierte Anforderung des Bundesverfassungsgerichts, ohne konkret festzulegen, für welche Zwecke und unter welchen Voraussetzungen eine Nutzung der Zugangssicherungscodes durch die Polizei in Frage kommt. Dies wäre jedoch zu konkretisieren gewesen. Als nicht akzeptabel haben wir die in dem Referentenentwurf enthaltene Regelung angesehen, wonach ein Auskunftsverlangen ohne richterliche Anordnung erfolgen sollte, wenn der Betroffene von dem Auskunftsverlangen bereits Kenntnis hat oder haben muss. Ein lediglich nachträglicher Rechtsschutz vermag keine ausreichende Sicherung für die Grundrechtspositionen des Betroffenen zu gewährleisten. Diesen Bedenken wurde im weiteren Gesetzgebungsverfahren durch Streichung dieser Vorschrift Rechnung getragen, so dass der Richtervorbehalt uneingeschränkt gilt. Durch den Gesetzentwurf sind darüber hinaus die Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung, die bislang allein für die akustische Wohnraumüberwachung sowie für die Überwachung und Aufzeichnung der Telekommunikation galten, auch auf Observationen, das Abhören oder Aufzeichnen des gesprochenen Wortes auf Tonträger und den Einsatz von verdeckten Ermittlern erstreckt worden. Schließlich werden durch das Polizeirechtsänderungsgesetz verschiedene Rechtsakte der Europäischen Union zum EU-weiten Austausch personenbezogener Daten in nationales Recht umgesetzt. In diesem Zusammenhang wurde von unserer Seite insbesondere eingefordert, jede Übermittlung personenbezogener Daten zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten zu dokumentieren. Entsprechende Nachbesserungen waren in dem in das parlamentarische Verfahren eingebrachten Gesetzentwurf sodann enthalten und wurden durch den Landtag verabschiedet. Aufgehoben wurde durch den Gesetzgeber schließlich die Befugnis der Ortspolizeibehörden zur offenen Bildaufzeichnung an öffentlich zugänglichen Orten. Damit wurden die bereits bei der Einführung der Befugnis im Jahre 2007 durch unsere Dienststelle erhobenen massiven Zweifel an der Erforderlichkeit einer solchen Regelung bestätigt und nunmehr unserer Forderung auf Streichung Rechnung getragen. Ebenso wurde endlich auch die gleichfalls schon bei ihrer Einführung aus datenschutzrechtlicher Sicht kritisierte Befugnis zur automatisierten Kennzeichenerfassung aufgehoben, nachdem das Bundesverfassungsgericht schon im Jahre 2008 eine vergleichbare landesrechtliche Regelung als zu unbestimmt und unverhältnismäßig und damit als verfassungswidrig angesehen hat. Am 12. November hat der Landtag das Polizeirechtsänderungsgesetz verabschiedet; am 19. Dezember 2014 ist das Gesetz in Kraft getreten. 7.2 Antiterrordatei (ATD) Bei der Antiterrordatei (ATD) handelt es sich um eine gemeinsame Datenbank von verschiedenen deutschen Sicherheitsbehörden wie dem 51 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bundeskriminalamt, der Bundespolizei, dem Bundesamt für Verfassungsschutz, dem Militärischen Abschirmdienst, dem Bundesnachrichtendienst, dem Zollkriminalamt, den Länderpolizeien und den Landesämtern für Verfassungsschutz. Diese Verbunddatei wurde auf der Rechtsgrundlage des Antiterrordateigesetzes (ATDG) zur Aufklärung oder Bekämpfung des internationalen Terrorismus mit Bezug zur Bundesrepublik Deutschland errichtet. 7.2.1 Änderungsbedarf des Antiterrordateigesetzes (ATDG) aufgrund der hierzu ergangenen Rechtsprechung des Bundesverfassungsgerichts Das Bundesverfassungsgericht (BVerfG) hat durch Urteil vom 24. April 2013 (1 BvR 1215/07) entschieden, dass die ATD in ihren Grundstrukturen mit dem Recht auf informationelle Selbstbestimmung vereinbar ist, jedoch hinsichtlich ihrer Ausgestaltung im Einzelnen den verfassungsrechtlichen Anforderungen nicht genügt. Dem Gesetzgeber wurde eine Frist bis zum 31. Dezember 2014 eingeräumt, die beanstandeten Regelungen nach den Vorgaben des Gerichts zu überarbeiten und umzusetzen. Die beanstandeten Regelungen wurden jedoch nicht mit sofortiger Wirkung ungültig, sondern durften bis zum 31. Dezember 2014 weiter mit besonderen Maßgaben hinsichtlich Datenzugriff und -recherchen angewendet werden. Eine Verbunddatei zwischen Sicherheitsbehörden wie die ATD bedarf nach Auffassung des Gerichts hinsichtlich der zu erfassenden Daten und ihrer Nutzungsmöglichkeiten einer hinreichend bestimmten und dem Übermaßverbot entsprechenden gesetzlichen Ausgestaltung. Im Einzelnen war demnach zur Bestimmung der beteiligten Behörden, zur Reichweite der als terrorismusnah erfassten Personen, zur Einbeziehung von Kontaktpersonen, zur Nutzung von verdeckt bereitgestellten erweiterten Grunddaten, zur Konkretisierungs-befugnis der Sicherheitsbehörden für die zu speichernden Daten und zur Gewährleistung einer wirksamen Aufsicht durch den Gesetzgeber nachzubessern. Das Gesetz zur Änderung des Antiterrordateigesetztes und anderer Gesetze (ATDGuaÄndG) wurde am 18. Dezember 2014 im Bundesgesetzblatt veröffentlicht (BGBl I 2014, 2318) und trat fristgemäß zum 1. Januar 2015 in Kraft. Hinsichtlich der Bestimmung der beteiligten Behörden wurde in § 1 Abs. 2 ATDG nunmehr eine Verordnungsermächtigung geschaffen, die es dem Bundesministerium des Innern gestattet, per Rechtsverordnung auf Ersuchen des jeweiligen Landes weitere Polizeivollzugsbehörden zur Teilnahme an der ATD zuzulassen, jedoch nur sofern auf diese die in den Ziffern 1 und 2 festgelegten Voraussetzungen zutreffen. Zu den als terrorismusnah erfassten Personen erfolgte in § 2 Satz 1 ATDG insoweit eine Klarstellung, als mit dem Unterstützen einer terroristischen Gruppierung nur die willentliche Förderung derselben gemeint ist. Für die Erfassung von Personen als Befürworter von Gewalt wurde ebenso klargestellt, dass es Anhaltspunkte geben muss, dass die zu erfassende Person tatsächlich Gewalt anwendet, unterstützt, vorbereitet und hervorrufen will. 52 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bei Kontaktpersonen handelt es sich nun nach § 3 Abs. 2 ATDG um solche Personen, bei denen tatsächliche Anhaltspunkte vorliegen, dass sie mit den als terrorismusnah erfassten Personen nicht nur flüchtig oder in zufälligem Kontakt in Verbindung stehen und durch sie weiterführende Hinweise für die Aufklärung oder Bekämpfung des internationalen Terrorismus zu erwarten sind. Angaben zu Kontaktpersonen dürfen nur noch als erweiterte Grunddaten mit nunmehr gesetzlich bestimmten Datenarten zur Identifizierung und Kontaktaufnahme gespeichert werden. Wenn die abfragende Behörde ohne Angabe eines Namens in den erweiterten Grunddaten sucht, erhält sie im Falle eines Treffers künftig nach § 5 Abs. 1 Satz 5 ATDG lediglich Zugriff auf Daten wie Angabe der Behörde, die über die Erkenntnisse verfügt, das zugehörige Aktenzeichen oder sonstige Geschäftszeichen und - soweit vorhanden - die jeweilige Einstufung als Verschlusssache. Da Datenkategorien wie Volkszugehörigkeit, Religionszugehörigkeit, besondere Fähigkeiten, Tätigkeiten in sicherheitsempfindlichen Bereichen und besuchte Orte relativ unbestimmt und auch weit auslegbar sind, forderte das BVerfG eine entsprechende Konkretisierung sowie zur Gewährleistung der Transparenz eine nachvollziehbare Dokumentation und Veröffentlichung etwaiger Konkretisierungsrichtlinien. Durch § 3 Abs. 4 ATDG wurde das Bundeskriminalamt demzufolge verpflichtet, in einer Verwaltungsvorschrift entsprechende Konkretisierungskriterien festzulegen, welche im Bundesanzeiger zu veröffentlichen sind. In § 10 Abs. 2 ATDG wurde nunmehr für die Bundesbeauftragte und die Landesbeauftragten für Datenschutz eine verpflichtende, mindestens alle zwei Jahre durchzuführende Datenschutzkontrolle normiert. 7.2.2 Prüfung der ATD beim Landespolizeipräsidium (LPP) Mit Blick auf die oben ausgeführte Rechtsprechung des BVerfG zur ATD und die nunmehr normierte Prüfpflicht der Datenschutzbeauftragten hat unsere Dienstelle im März 2014 eine entsprechende schriftliche Prüfankündigung zur Datenschutzkontrolle der ATD an das LPP gerichtet. Zur Vorbereitung der Prüfung baten wir, uns im Rahmen einer Informationsveranstaltung zunächst die Grundzüge der Datenverarbeitung in der Antiterrordatei (wer wird wo wie lange gespeichert), etwaige Datenübermittlungen, die jeweiligen Zugriffsberechtigungen, die Funktionsweise von Suchabfragen sowie ggf. besondere Datensicherheitsaspekte zu erläutern. Da der Protokollserver für die ATD sich beim Bundeskriminalamt (BKA) befindet und ein Direktzugriff der Länderpolizeien auf die zu ihren ATDzugriffsberechtigten Mitarbeitern gespeicherten Protokolldaten nicht möglich ist, baten wir gleichzeitig die für einen von uns festgelegten Zeitraum von zwei Wochen angefallenen Protokolldaten der im LPP auf die ATD zugriffsberechtigten Personen beim BKA anzufordern. Auf dem Protokollserver des BKA wurden sogenannte Reports zur Ausweisung bestimmter Auswertungskriterien programmiert, wie neu angelegte Objekte, geänderte Objekte, gelöschte Objekte, angesehene Objekte und Suchanfragen. 53 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Das LPP kam unserer Bitte um eine Informationsveranstaltung am 29. April 2014 nach und legte uns gleichzeitig die für das Verfahren ATD erforderliche Errichtungsanordnung vor. Die angeforderten Protokolldaten konnten jedoch trotz frühzeitiger Anforderung durch das LPP beim BKA nicht vorgelegt werden. Erst fünf Wochen nach Anforderung der Protokolldaten beim BKA wurden diese an das LPP zur Durchführung der Datenschutzkontrolle übersandt. Da im angeforderten Auswertezeitraum nur wenige Protokolldaten angefallen sind und auch nicht zu sämtlichen Auswertekriterien Protokolldaten vorlagen, haben wir erneut um eine entsprechende Anforderung beim BKA, diesmal für einen Auswertezeitraum von einem Jahr und Anlieferungsfrist binnen zwei Wochen, gebeten. Zwischenzeitlich wurden von uns die bereits vorliegenden Protokolldaten geprüft, indem beispielsweise getätigte Suchanfragen mit angesehenen Objekten abgeglichen wurden, so dass in einem Fall die Vorlage des Aktenrückhalts erforderlich wurde. Nach Prüfung desselben stellte sich heraus, dass es sich im konkreten Fall um eine zulässige Datenabfrage handelte. Die Zulieferung der für einen Jahreszeitraum angeforderten Protokolldaten erfolgte durch das BKA diesmal fristgerecht. Allerdings wurden die übersandten Unterlagen - laut BKA aus Zeitgründen ohne vorherige Prüfung - als Verschlusssache „VS-Geheim“ eingestuft, was besondere Sicherheitsmaßnahmen zur Ansicht der Protokolldaten erforderlich machte. Da das LPP in seinen Räumlichkeiten und mit seiner technischen Ausstattung die bei der Einstufung „VS-Geheim“ erforderlichen Sicherheitsmaßnahmen gewährleisten konnte, haben wir die Protokolldaten auch dort geprüft. Mit Blick darauf, dass bei der ersten Anlieferung der Protokolldaten diese lediglich als Verschlusssache „VS - Nur für den Dienstgebrauch“ eingestuft waren und nicht ersichtlich war, weshalb nunmehr höhere Anforderungen gelten mussten, war die Einstufung mit einem höheren Geheimhaltungsgrad nicht plausibel und bedeutete für unsere Dienststelle eine Erschwernis bei der Prüfung. Nach einer ersten Prüfung der nunmehr umfassenden Protokolldaten zu allen Auswertekriterien baten wir das LPP um Erstellung einer Geschäftsprozessdarstellung hinsichtlich Erfassung, Änderung und Löschung ATD-relevanter Daten auch betreffend das Quellsystem, also der Datei, aus der Daten in die ATD geliefert werden. Im weiteren Prüfverfahren haben wir uns sodann stichprobenartig auch die entsprechenden Datensätze des Quellsystems und zu bestimmten in der ATD gespeicherten Personen auch die kompletten Gefahrenerforschungsverfahrensakten angesehen. Es wurde deutlich, dass zwar eine Einstufung der Personen unter Staatsschutzaspekten und nach Vorgabe der Innenministerkonferenz stattfand, jedoch kein aktenkundlicher Nachweis über die Prüfung der ATDRelevanz für die in der ATD gespeicherten Personen auf der Grundlage des ATDG. In einem Zwischengespräch mit den für die ATD zuständigen Mitarbeitern haben wir diese Problematik bereits thematisiert und gebeten, ein Formblatt zu erarbeiten, aus welchem nachprüfbar ersichtlich ist, welche Rechtsgrundlage nach dem ATDG für die Speicherung Anwendung findet und welche tragenden tatsächlichen Gesichtspunkte für die Bewertung der ATD-Relevanz ausschlaggebend sind. Zwischenzeitlich wurde durch das LPP ein Protokolldatenblatt ATD-Erfassung erstellt, das den von uns vorgetragenen Erfordernissen Rechnung trägt. 54 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Wir beabsichtigen nach Erstellung unseres Prüfberichts eine abschließende Besprechung mit dem LPP zu führen. Schon jetzt kann aber gesagt werden, dass das LPP während der gesamten, sehr umfangreichen Prüfung konstruktiv im Sinne von § 28 Abs. 1 SDSG mit uns zusammengearbeitet hat. Bundesweit haben die Landesbeauftragten für Datenschutz im Dezember 2014 eine Sonderarbeitsgruppe „Erfahrungsaustausch Prüfung Antiterrordatei“ ins Leben gerufen. Unsere Dienststelle hat den Länderkollegen im Rahmen des Erfahrungsaustauschs zunächst über die Herangehensweise, Strukturierung der Prüfung sowie auch die bisherigen Prüfergebnisse berichtet. Vor dem Hintergrund der seit dem 1. Januar 2015 geltenden gesetzlichen Verpflichtungen zu turnusmäßigen Datenschutzkontrollen der ATD als auch der Rechtsextremismusdatei (RED) halten wir einen solchen Erfahrungsaustausch für unerlässlich. 7.3 Einsatz von Videotechnik 7.3.1 Einsatz einer Drohne durch die saarländische Polizei Bereits im September 2011 wurde vom damaligen Landeskriminalamt (LKA) zu einer ersten Präsentationsveranstaltung zum beabsichtigten Einsatz eines unbemannten Flugsystems (Drohne) durch die saarländische Polizei eingeladen. Die Drohne sollte einer Spezialeinheit des LKA zur Einsatz- und Ermittlungsunterstützung dienen. Gleichzeitig wurde uns ein erster Entwurf einer Errichtungsanordnung (EAO) zur datenschutzrechtlichen Prüfung vorgelegt. Da es sich bei einer solchen Drohne um ein Luftfahrzeug im Sinne des Luftverkehrsgesetzes handelt, war eine Aufstiegserlaubnis nach der Luftverkehrsordnung erforderlich, welche auch durch die zuständige Luftfahrtbehörde, dem damaligen Ministerium für Wirtschaft und Arbeit, erteilt wurde. Der Einsatz der Drohne sollte auf der Grundlage der Spezialnormen für die Verarbeitung von Video- und Bilddaten des Saarländischen Polizeigesetzes (SPolG), der Strafprozessordnung (StPO) und des Versammlungsgesetzes (VersG) erfolgen. Aufgrund der Rechtsprechung verschiedener Verwaltungsgerichte zur Beobachtung einer Versammlung durch die Polizei sowie auch des Bayerischen Verfassungsgerichts zur Verfassungsmäßigkeit neu geschaffener Vorschriften zur Beobachtung einer Versammlung durch die Polizei im Bayerischen Versammlungsgesetz haben wir im Rahmen der Präsentationsveranstaltung erhebliche Zweifel an der Zulässigkeit einer Videoüberwachung von Versammlungen mittels Drohne erhoben. Abschließend bestand mit den Vertretern der Polizei Konsens, den Drohneneinsatz von der Beobachtung von Versammlungen auszunehmen. Wir haben daher um Überarbeitung und Neuvorlage der EAO gebeten. Bei der uns vorgestellten Drohne handelte es sich um einen Octokopter mit der Möglichkeit, eine Tageslichtvideokamera oder eine Wärmebildkamera zu montieren. Die Bilddaten werden durch einen Videoscrambler verschlüsselt, wodurch sowohl der Zugriff auf die Daten durch unberechtigte Dritte als auch die Möglichkeit der Einspeisung anderen Bildmate- 55 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht rials verhindert wird. Die Entschlüsselung findet erst bei Speicherung auf einem externen Medium oder zur Visualisierung auf einem Monitor statt. Im Januar 2012 wurde uns dann durch das jetzige Landespolizeipräsidium (LPP) mitgeteilt, dass sich wegen der Umsetzung der Neuorganisation der saarländischen Polizei die Überarbeitung der Errichtungsanordnung verzögern wird und diese eventuell noch ergänzt werden soll. Die umfassend überarbeitete EAO sowie auch das durch die Behördenleitung genehmigte Betriebskonzept für den Drohneneinsatz im Zuständigkeitsbereich der saarländischen Polizei wurde uns alsdann Anfang des Jahres 2013 mit der Bitte um Stellungnahme vorgelegt. Gleichzeitig wurden wir darüber informiert, dass eine entsprechende Betriebsabsprache über die Durchführung von Drohnenflügen der saarländischen Polizei in der Kontrollzone des Flughafens Saarbrücken seit dem 1. August 2012 in Kraft sei. Das Betriebskonzept regelt Betriebsanforderungen, wann unter welchen Bedingungen der Betrieb der Drohne zulässig ist, bzw. wie in bestimmten Situationen, z.B. bei der Annäherung von anderen Luftfahrzeugen, vorzugehen ist. Darüber hinaus werden Regelungen zur Aus- und Fortbildung von Drohnenpiloten und die von ihnen zu treffenden Vorbereitungen vor einem Dohnenflug sowie Dokumentations- und Meldepflichten getroffen. Die Betriebsabsprache enthält Vereinbarungen zum Flugbetrieb wie An- und Abmeldungen beim Tower Saarbrücken und auch Festlegungen zu Flughöhe und Einsatzradius der Drohne. In der überarbeiteten EAO war nunmehr, wie bereits mit dem LPP erörtert, der Einsatzzweck zur Beobachtung von Versammlungen ausdrücklich ausgenommen. Was die mobile Videoüberwachungsmaßnahme durch Drohnen anbelangt, sind sowohl offene als auch verdeckte Überwachungen zulässig. Bei offenen Maßnahmen ist auf diese in geeigneter Weise hinzuweisen, verdeckte Maßnahmen lösen nachträgliche Benachrichtigungspflichten aus. Hierzu haben wir das LPP um erneute Überarbeitung und Klarstellung in der EAO gebeten. Hinsichtlich der Prüf- und Löschfristen waren die Ausführungen aus unserer Sicht zu allgemein gefasst und auch mit Blick auf die Zwischenspeicherung auf der Speicherkarte der Digitalkamera, den Datenexport auf externe Speichermedien und die entsprechenden Verantwortlichkeiten für die Löschung der Daten in den verschiedenen Organisationseinheiten des LPP für die praktische Umsetzung nicht ausreichend konkret ausformuliert. Wir haben deshalb auch hier um Nachbesserung gebeten. Im Juni 2013 erhielten wir nunmehr eine nochmals umfassend überarbeitete EAO, welche sämtlichen zuvor dargelegten datenschutzrechtlichen Anforderungen Rechnung trug. Die maßgeblichen Rechtsgrundlagen wurden in Bezug auf offene und verdeckte Videoüberwachungen und die sich hieraus ergebenden Hinweis- oder Benachrichtigungspflichten klar strukturiert. Für die Praxis wurden Einsatzgrundsätze formuliert und die Prüf- und Löschfristen unter dem Gesichtspunkt der besseren Anwendbarkeit für die verantwortlichen Personen überarbeitet. Mithin bestanden aus datenschutzrechtlicher Sicht, basierend auf der EAO vom 13. Juni 2013, keine Bedenken mehr gegen den Einsatz der saarländischen Polizeidrohne. 56 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 7.3.2 Einsatz mobiler Endgeräte durch die Polizei Im Berichtszeitraum wurde bekannt, dass im Internet eine Videoaufnahme kursierte, die eine männliche Person in einem Polizeifahrzeug zeigte, die die nicht im Bild zu sehenden Polizeibeamten beschimpfte und beleidigte. Die polizeilichen Ermittlungen hierzu ergaben, dass das Verhalten des Mannes von einem Polizeibeamten zum Zwecke der Beweisführung mit dem Privat-Handy des Beamten auf Video festgehalten und der Strafakte beigefügt worden war. Anschließend wurde das Video auf dem Handy des Beamten gelöscht. In das Internet eingestellt wurde das Video durch eine nicht im Saarland wohnende Person, die nach den polizeilichen Ermittlungen über keinerlei Bezüge zur saarländischen Polizei verfügt. Wie das Video in dessen Hände gelangt ist, konnte nicht aufgeklärt werden. Wenngleich vorliegend eine Verantwortlichkeit des Polizeibeamten für die Veröffentlichung des Videos nicht erkennbar war, zeigt der Sachverhalt deutlich, welche Gefahren mit der dienstlichen Nutzung privater Handys verbunden sind. Gerade bei der Polizei werden in großem Umfang besonders schützenswerte Daten verarbeitet, so dass bei dem Einsatz von mobilen Endgeräten strenge Sicherheitsvorkehrungen eingehalten werden müssen. Obwohl die Polizei bereits im Jahre 2009 in einem Erlass zu IT-Sicherheit und Datenschutz Regelungen für den Einsatz mobiler Endgeräte getroffen und eine Datenverarbeitung zu dienstlichen Zwecken mit privaten IT-Systemen und Softwareprodukten grundsätzlich untersagt hat, sahen wir die Notwendigkeit, die Polizeibeamten erneut für einen rechtmäßigen und verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren. Als erste Maßnahme wurde durch den behördlichen Datenschutzbeauftragten der Polizei eine im polizeiinternen Intranet veröffentlichte Mitarbeiterinformation erstellt, die auf die strenge Beachtung der datenschutzrechtlichen Vorschriften hinwies. In einem zweiten Schritt wurde ein Leitfaden zur Nutzung mobiler Endgeräte erstellt, der den Polizeibeamten erneut die Gefahren bei der Nutzung mobiler Endgeräte sowie die Notwendigkeit der Beachtung geeigneter Schutzmaßnahmen vor Augen führen und somit auch Rechtssicherheit in der praktischen Anwendung geben soll. 7.4 Auskunftserteilung nach § 40 SPolG Nach § 40 Abs. 1 Saarländisches Polizeigesetz (SPolG) ist der oder dem Betroffenen von der speichernden Stelle auf Antrag unentgeltlich Auskunft über die zu ihrer oder seiner Person gespeicherten personenbezogenen Daten sowie den Zweck und die Rechtsgrundlage der Speicherung zu erteilen. Im Berichtszeitraum erhielten wir diverse Eingaben zu Auskunftsersuchen bei der saarländischen Polizei. In den konkreten Fällen stellte sich heraus, dass den Petenten entweder keine Auskunft erteilt wurde, da die Vorlage einer Kopie des Personalausweises für die erforderliche Identitätsfeststellung als unzureichend angesehen wurde, oder nur die in den polizeilichen Systemen und Inpol-Z gespeicherten personenbezogenen Daten beauskunftet wurden. 57 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Zunächst wurde das Landespolizeipräsidium (LPP) daher zu den konkreten Eingaben um Stellungnahme gebeten. Darüber hinaus hielten wir es jedoch für geboten, sowohl das Verfahren als auch den Umfang der Auskunft mit Vertretern des Landespolizeipräsidiums zu erörtern und haben daher den behördlichen Datenschutzbeauftragten des LPP sowie Vertreter der für die Auskunftserteilung zuständigen Stelle zu einem gemeinsamen Besprechungstermin in unsere Dienststelle eingeladen. Seitens des LPP wurde nachvollziehbar dargelegt, dass gerade wegen der in polizeilichen Systemen gespeicherten sensiblen personenbezogenen Daten an die Überprüfung der Identität des jeweiligen Antragstellers hohe Anforderungen - nicht zuletzt in dessen eigenem Interesse - zu stellen sind. Bislang wurde deshalb die Vorlage einer beglaubigten Ausweiskopie verlangt. Die Vorlage einer beglaubigten Ausweiskopie ist jedoch für den Antragsteller mit entsprechenden Kosten verbunden und läuft demnach der in § 40 Abs. 1 Satz 1 SPolG geregelten Verpflichtung zur unentgeltlichen Auskunftserteilung zuwider. In dem gemeinsamen Besprechungstermin haben wir uns daher darauf verständigt, dass künftig, um der auch aus unserer Sicht erforderlichen Personenidentitätsüberprüfung Rechnung zu tragen, eine polizeilich bestätigte Ausweiskopie vorgelegt werden soll, welche in allen Polizeidienststellen des Landes kostenfrei eingeholt werden kann. Des Weiteren wurden von unserer Dienststelle Musteranträge für den Erhalt einer Auskunft nach § 40 SPolG sowie entsprechende Hinweis- und Erläuterungstexte erarbeitet, welche nach endgültiger Abstimmung mit dem LPP in Kürze auf unserer Internetseite zur Verfügung gestellt werden. Gemäß § 40 Abs. 1 Satz 1 SPolG sind dem Betroffenen alle zu seiner Person gespeicherten Informationen mitzuteilen, es sei denn, es liegen besondere Auskunftsverweigerungsgründe nach § 40 Abs. 2 SPolG vor. Wie die im Rahmen des gemeinsamen Besprechungstermins erörterten Eingaben bei unserer Dienststelle gezeigt haben, wurde in der Vergangenheit dem Erfordernis der Beauskunftung sämtlicher zur ersuchenden Person gespeicherter Daten nicht vollumfänglich Rechnung getragen, sondern erstreckte sich die Auskunft lediglich auf POLIS-Daten und Speicherungen durch saarländische Dienststellen in Inpol-Z. Mit Blick auf die vom Gesetzgeber gewählte eindeutige Formulierung haben wir daher das LPP gebeten, hausintern einen entsprechenden Abstimmungsprozess in die Wege zu leiten, der künftig den gesetzlichen Anforderungen Rechnung trägt und demzufolge auch die Beauskunftung von Vorgangsverwaltungsdaten in POLADIS sowie etwaiger personenbezogener Daten aus den Inpol-Fall-Dateien und auch dem saarländischen Auswerte- und Analysesystem KRISTAL vorsieht. 7.5 Abfrage und Übermittlung von POLIS-Daten in einem Beamtenrechtsstreit Eine Datenabfrage aus dem polizeilichen Informationssystem POLIS und die anschließende Übermittlung dieser Daten an das Verwaltungsgericht haben uns veranlasst, das Vorgehen der Polizei in dem folgenden Fall zu kritisieren: Im Rahmen eines beamtenrechtlichen Verfahrens, den ein Polizeibeamter gegen seinen Dienstherrn führte, hatte das Justizia- 58 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht riat der Polizei Daten über einen von dem Kläger benannten Zeugen aus dem Polizeilichen Informationssystem Saarland (POLIS-Saarland) abgerufen und diese Daten zum Gegenstand des Verwaltungsstreitverfahrens gemacht. Alleiniger Zweck dieser Datenübermittlung war es, die Glaubwürdigkeit dieses Zeugen zu erschüttern. POLIS-Saarland ist ein polizeiliches Informationssystem, das der Aufklärung von Straftaten sowie der Gefahrenabwehr einschließlich der vorbeugenden Bekämpfung von Straftaten dient. Daten aus dieser Datei dürfen grundsätzlich nur für die Zwecke genutzt oder übermittelt werden, für die sie erhoben worden sind. Durchbrechungen dieses Zweckbindungsprinzips sind nur dann zulässig, wenn die Daten ebenfalls für die Erfüllung der genannten polizeilichen Aufgaben erforderlich sind. Dieses Prinzip der Zweckbindung dient dazu, die Risiken einer Datenverwendung für den Betroffenen möglichst gering zu halten. Dementsprechend sind auch die Zugriffsberechtigungen auf diese Datenbank so auszugestalten, dass nur denjenigen Polizeibeschäftigten Zugang einzuräumen ist, die die Daten für die polizeiliche Aufgabenerfüllung benötigen. Auf Nachfrage trug das Landespolizeipräsidium vor, die Tatsache, dass der Zeuge bereits mehrfach kriminalpolizeilich in Erscheinung getreten sei, sei für die Beurteilung der Glaubwürdigkeit dieses Zeugen durch das Gericht und damit für den Ausgang des Rechtsstreits von Bedeutung. Bei der Übermittlung der aus POLIS-Saarland entnommenen Daten handele es sich mithin im weiteren Sinne um eine Gefahrenabwehrmaßnahme. Alle im Justiziariat der Polizei tätigen Polizeibeamten seien zur Gefahrenabwehr berufen. Ebenso sei auch das Verwaltungsgericht eine zur Gefahrenabwehr berufene öffentliche Stelle. Diesen Ausführungen vermochten wir jedoch nicht zu folgen. Bei der Tätigkeit der Polizei muss nämlich ihre Aufgabenerfüllung im Bereich der Gefahrenabwehr oder Strafverfolgung klar von ihrer innerbehördlichen Aufgabenwahrnehmung, wie etwa der Führung eines beamtenrechtlichen Streitverfahrens, abgegrenzt werden. Entgegen ihrer Auffassung ist die Polizei vorliegend gerade nicht im Rahmen ihrer Aufgabe nach § 1 Abs. 2 Saarländisches Polizeigesetz (SPolG) zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, sondern im Rahmen ihrer Verantwortung für Personalangelegenheiten tätig geworden. Dementsprechend durfte die Polizei in dem anhängigen Gerichtsverfahren auch nicht das nur für die polizeilichen Aufgaben eingerichtete Informationssystem nutzen. Hierbei ist auch zu berücksichtigen, dass die POLIS-Datenbank selbst keine Aussage darüber trifft, wie die gespeicherten Informationen über Personen zu bewerten sind. Die Tatsache, dass eine Person mehrfach Gegenstand polizeilicher Ermittlungen war, sagt noch nichts über deren kriminelles Verhalten aus. Strafrechtlich relevantes Verhalten von Personen wird nur unter präzisen Voraussetzungen in das dafür vorgesehene Bundeszentralregister eingetragen. Die Einsichtsrechte in dieses Register werden vom Bundeszentralregistergesetz (BZRG) für alle Fälle abschließend und klar geregelt. Im Übrigen obliegt es dem Gericht, den Sachverhalt von Amts wegen aufzuklären und gegebenenfalls im Rahmen einer Beweisaufnahme in eigener Verantwortung aufgrund des persönlichen Eindrucks des Zeugen festzustellen, ob ein Zeuge glaubwürdig und seine Schilderung glaubhaft ist. Ohne ausdrückliche Aufforderung des Gerichts ist es nicht 59 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht die Aufgabe eines Prozessbeteiligten, eigene Ermittlungen über Zeugen anzustellen, die keinen Bezug zu dem Sachverhalt aufweisen, sondern allein dem Zweck dienen, die Glaubwürdigkeit dieses Zeugen in Zweifel zu ziehen. Die POLIS-Abfrage zu dem Zeugen und die Einbringung der gewonnenen Erkenntnisse in das Gerichtsverfahren waren damit als ein Eingriff in das informationelle Selbstbestimmungsrecht des Zeugen zu bewerten. Um für die Zukunft ein datenschutzgerechtes Verhalten bei der Nutzung der polizeilichen Datenbanken zu gewährleisten, wurde in einem Gespräch mit Vertretern des Landespolizeipräsidiums neben der Erörterung des konkreten Falles die Vereinbarung getroffen, dass durch das Justiziariat in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten ein Leitfaden für die saarländischen Polizeibeamten erstellt werden soll, der konkrete Hinweise darauf enthält, zu welchen dienstlichen Zwecken Abfragen aus polizeilichen Informationssystemen zulässig sind. Leider haben wir trotz mehrfacher Nachfragen bislang noch nicht einmal eine Entwurfsfassung eines solchen Leitfadens erhalten. 60 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 8 Steuern 8.1 Staatsvertrag zwischen den Ländern Rheinland-Pfalz und Saarland Mitte 2014 wurde uns vom Ministerium für Finanzen und Europa im Rahmen der externen Anhörung der Vorentwurf für einen Staatsvertrag zwischen Rheinland-Pfalz und Saarland über die Kooperation auf den Gebieten der Erbschaft- und Schenkungsteuer sowie der Grunderwerbsteuer zur Stellungnahme vorgelegt. Die Erbschaft- und Schenkungsteuerfälle beider Länder werden künftig in Rheinland-Pfalz, die Grunderwerbsteuerfälle im Saarland bearbeitet. Durch diese Maßnahme sollen Kompetenzen konzentriert und Aufgaben länderübergreifend gebündelt werden. Die verfassungsrechtliche Verantwortlichkeit der Länder sowie die Zuweisung des Aufkommens bleiben durch den Staatsvertrag unberührt. In Artikel 4 des Vorentwurfs waren die Prüfungsrechte der Rechnungshöfe geregelt. Eine entsprechende Formulierung über die Kontrollrechte der Datenschutzbeauftragten von Rheinland-Pfalz und Saarland fand sich nicht. Daher setzten wir uns umgehend mit den Kollegen in Rheinland-Pfalz in Verbindung, um das weitere Vorgehen abzustimmen. Zeitgleich wandten wir uns an die beiden Länderfinanzministerien und baten um Aufnahme einer Regelung, die klarstellt, dass die Landesbeauftragten für Datenschutz weiterhin die Kontrollrechte für die Steuerfälle ihres jeweiligen Landes, auch wenn diese durch die Finanzbehörden des jeweils anderen Landes bearbeitet werden, innehaben. Der zum 1. Januar 2015 in Kraft getretene Staatsvertrag enthält nun die von uns eingebrachte Regelung. 8.2 Service-Center der Finanzämter Eine Petentin beklagte sich über die mangelnde Vertraulichkeit der Gespräche im Service-Center eines Finanzamtes. Man habe Teile ihrer Besprechung bis in die Wartezone hinein hören können. Dadurch sei der Datenschutz, ja sogar das Steuergeheimnis verletzt worden. Petitionen zu dieser Thematik waren seit längerer Zeit nicht mehr bei uns eingegangen. Die Einführung der Service-Center der Finanzämter erfolgte im Wesentlichen zwischen den Jahren 2000 und 2003. Sie hatte das Ziel, den Bürgern eine kundenfreundliche Anlaufstelle für einfache Verwaltungsvorgänge in den Finanzämtern anzubieten. Hierzu wurden in der Nähe des Eingangsbereichs Großraumbüros mit mehreren Bearbeiterplätzen (Servicezonen) eingerichtet. Vorgeschaltet ist ein Wartebereich, in dem sich in aller Regel ein Informationsschalter befindet. 61 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bereits damals war unsere Dienststelle prüfend und beratend tätig und die damals gestellten Anforderungen wurden abhängig von räumlichen Gegebenheiten weitgehend umgesetzt. Diese bestanden im Wesentlichen in der räumlichen Trennung von Warte- und Servicebereich, ausreichender Distanz zwischen den Bearbeiterplätzen mit ergänzenden Sicht- und Schallschutzmaßnahmen, die auch ein Mithören von Gesprächen verhindern, sowie der Einrichtung von Back-Offices für umfangreichere Beratungsmaßnahmen und zur Wahrung des Steuergeheimnisses. Hinweise auf das Back-Office sollten deutlich erkennbar in den Wartezonen und auf den Schreibtischen angebracht werden. Da in der Zwischenzeit weitere Service-Center eingerichtet und bestehende durch Umbaumaßnahmen verändert wurden, haben wir uns Vorort bei den Finanzämtern des Landes ein aktuelles Bild von den örtlichen Gegebenheiten gemacht. Während in einigen Finanzämtern die Wartezonen baulich von den Bearbeiterplätzen getrennt sind, haben andere lediglich mit Stellwänden und Pflanzenzonen optische Barrieren zwischen Wartebereich und Servicezone geschaffen. In einem Finanzamt sind nur geringe Vorkehrungen für den Sichtschutz getroffen. Relevant aus Sicht des Datenschutzes ist es, inwieweit Beratungsgespräche von Dritten mitgehört werden können, einmal im Verhältnis Wartebereich zu Servicezone und zum andern innerhalb der Servicezone von Tisch zu Tisch. Soweit die Wartebereiche eine räumliche Abtrennung erfahren haben, sind in aller Regel keine Gesprächsinhalte aus den Servicezonen vernehmbar. Aber auch dort, wo dies nicht der Fall ist, konnten wir nicht feststellen, dass man Details der Beratungsgespräche hören konnte. Stellwände und Pflanzenzonen bieten in aller Regel in Verbindung mit einer genügenden Entfernung zu den Bearbeiterplätzen eine ausreichende Diskretionszone. Besondere Beachtung hat aber die Situation innerhalb der eigentlichen Servicezone gefunden. Überwiegend konnten wir beobachten, dass die Ausgestaltung der Servicezonen hinnehmbar ist, da bei normaler Stimmlautstärke Details eines Gesprächsverlaufs nicht wahrgenommen werden können. Lediglich in einem Finanzamt erschien der Abstand von ca. 2 m zwischen zwei Tischen zu gering. Grundsätzlich ist zu berücksichtigen, dass eine Einrichtung von ServiceCentern in Großraumbüros keine optimale Gestaltung von Vertraulichkeit ermöglicht. Für das Massengeschäft, z. B. Entgegennahme von Steuer-Erklärungen, Anträge und Änderungen von Lohnsteuermerkmalen etc. sind die bestehenden Einrichtungen ausreichend. Für weitergehende Beratungen ist allerdings darauf zu achten, dass die hierfür vorgesehenen BackOffices nicht nur bereit stehen, sondern auch genutzt werden. Entsprechende Hinweise auf das Back-Office sind sowohl in der Wartezone als auch auf den Schreibtischen anzubringen. Die Mitarbeiter in den Servicestellen sind anzuhalten, bei entsprechendem Gesprächsverlauf von sich aus eine Fortführung des Gesprächs im Back-Office anzuregen und zu ermöglichen. 62 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht In dem konkreten Fall, der zur Prüfung führte, hätten mehrere Maßnahmen die unbefugte Kenntnisnahme vertraulicher Gesprächsinhalte verhindern können. Zum einen befindet sich zwischen Bearbeiterplatz und Wartezone eine Tür. Diese war leider während des Gesprächs nicht geschlossen. Zum anderen hätte eine Verlegung der Beratung in das Back-Office die Vertraulichkeit wesentlich stärker schützen können. Das Ministerium für Finanzen hat zwischenzeitlich die Mitarbeiter der Service-Center angehalten, bei entsprechendem Gesprächsverlauf auf die Nutzung des Back-Office hinzuweisen. 8.3 Erstellen von Abgabebescheiden durch Externe Eine saarländische Kreisstadt beabsichtigte, die Aufbereitung zur Kuvertierung und den Versand von Abgabebescheiden (Grundbesitzabgaben, Gewerbesteuer, Hundesteuer) an einen externen privaten Dienstleister zu vergeben. Zur datenschutzrechtlichen Prüfung wurde uns der Entwurf eines Vertrages zur Auftragsdatenverarbeitung vorgelegt. Nach § 12 Kommunales Abgabengesetz sind die Gemeinden an das Steuergeheimnis gemäß § 30 Abgabenordnung (AO) gebunden. Mit der beabsichtigten Auftragsdatenverarbeitung würden dementsprechend personenbezogene Daten, die einem besonderen Amtsgeheimnis, nämlich dem Steuergeheimnis, unterliegen, gegenüber Dritten offenbart. Da die Vorschriften der Auftragsdatenverarbeitung lediglich die Übertragung der Datenverarbeitung im technischen Sinne regeln und nicht Rechtsgrund für eine inhaltliche Aufgabenübertragung sein können, war zu prüfen, ob eine der in § 30 Abs. 4 bis 6 AO abschließend geregelten Befugnisse zur Offenbarung von Steuerdaten gegeben ist. In Betracht zu ziehen war lediglich eine Offenbarungsbefugnis nach § 30 Abs. 4 Nr. 1 AO, wonach eine Offenbarung von Steuerdaten u.a. zulässig ist, soweit sie der Durchführung eines Verwaltungsverfahrens dient. Die Daten „dienen“ der Durchführung eines Verwaltungsverfahrens, wenn sie eine Prüfung der in einem solchen Verfahren relevanten Tatbestandmerkmale ermöglichen, erleichtern oder auf eine festere Grundlage stellen können, also ein unmittelbarer funktionaler Zusammenhang zwischen der Offenbarung und der Verfahrensdurchführung besteht. Bereits aus der Definition des Begriffes „dienen“ folgt, dass nur solche Offenbarungen privilegiert sind, die die Entscheidungsfindung vorbereiten. Im hier vorliegenden Fall ist die Bearbeitung des Vorgangs jedoch bereits mit einer Entscheidung des Sachbearbeiters abgeschlossen. Lediglich um eine Zustellung bzw. Bekanntgabe der Entscheidung an den Steuerpflichtigen zu erreichen, werden private Helfer eingeschaltet. Diese Konstellation ist jedoch nicht von der Offenbarungsbefugnis des § 30 Abs. 4 Nr. 1 AO gedeckt. Damit ist aufgrund des Steuergeheimnisses eine Beauftragung privater Unternehmer mit dem Druck, der Kuvertierung und dem Versand von Steuerbescheiden ausgeschlossen. Diese Auffassung wird auch von dem Ministerium der Finanzen geteilt. 63 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Mit Blick auf diese Rechtslage verzichtete die Kreisstadt in der Folge auf ihr Vorhaben. 8.4 Kontrollmitteilungen der Volkshochschulen an die Finanzbehörden Eine Dozentin bei einer Volkshochschule fragte bei uns nach, in welchem Umfang Daten von den zur Meldung verpflichteten Stellen an die Finanzbehörden zu übermitteln sind. In ihrem Fall hatte die Volkshochschule die Bankverbindung der Dozentin an die Finanzbehörden weitergeleitet. Rechtsgrundlage für die Übermittlung von Daten an Finanzbehörden ist § 93a Abs. 1 Satz 2 AO. Hiernach kann durch Rechtsverordnung bestimmt werden, dass zur Sicherung der Besteuerung bei Zahlungen von Behörden und anderen öffentlichen Stellen der zuständigen Finanzbehörde der Empfänger, der Rechtsgrund, die Höhe und der Zeitpunkt der Zahlungen mitzuteilen sind. Die entsprechende Rechtsverordnung ist die „Verordnung über die Mitteilung an die Finanzbehörden durch andere Behörden und öffentlich-rechtliche Rundfunkanstalten (Mitteilungsverordnung – MV)“. § 8 Abs. 2 MV regelt den Inhalt der Mitteilungen wie folgt: „In Mitteilungen über Zahlungen sind die anordnende Stelle, ihr Aktenzeichen, die Bezeichnung (Name, Vorname, Firma), die Anschrift des Zahlungsempfängers und, wenn bekannt, seine Steuernummer sowie sein Geburtsdatum, der Grund der Zahlung (Art des Anspruchs), die Höhe der Zahlung, der Tag der Zahlung oder der Zahlungsanordnung anzugeben. Als Zahlungsempfänger ist stets der ursprüngliche Gläubiger der Forderung zu benennen, auch wenn die Forderung abgetreten, verpfändet oder gepfändet ist.“ Eine Verpflichtung zur Übermittlung von Bankdaten enthält die Mitteilungsverordnung jedoch nicht. Aufgrund unseres Hinweises auf die geltende Rechtslage hat die betreffende Volkshochschule uns mitgeteilt, den Finanzbehörden künftig lediglich die an die Dozenten gezahlten Honorare und Fahrtkosten mitzuteilen. 64 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 9 Meldewesen 9.1 Neuregelung des Meldewesens Bereits in unserem letzten Tätigkeitsbericht hatten wir einen Ausblick auf die Neuregelung des Meldewesens gegeben, wonach das bisherige Melderechtsrahmengesetz und die Landesmeldegesetze durch ein Bundesmeldegesetz abgelöst werden. Das Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) vom 03. Mai 2013 sah das Inkrafttreten des neuen Bundesmeldegesetzes (BMG) zum 01. Mai 2015 sowie das gleichzeitige Außerkrafttreten des Melderechtsrahmengesetzes vor. In ihrer Entschließung vom 22. August 2012 hatten die Datenschutzbeauftragten des Bundes und der Länder eingefordert, das Melderecht datenschutzkonform zu gestalten. Schwerpunkt war die Forderung, einfache Melderegisterauskünfte für Zwecke der Werbung und des Adresshandels, entgegen der im Entwurfsstadium der Gesetzesnovelle vorgesehenen Widerspruchslösung, nur mit Einwilligung des Meldepflichtigen zuzulassen. In der Vorschrift über die einfache Melderegisterauskunft, § 44 BMG in der am 03. Mai 2013 verkündeten Fassung, wird dieser Forderung nunmehr Rechnung getragen. § 44 Abs. 3 BMG Die Erteilung einer einfachen Melderegisterauskunft ist nur zulässig, wenn 1. die Identität der Person, über die eine Auskunft begehrt wird, auf Grund der in der Anfrage mitgeteilten Angaben über den Familiennamen, den früheren Namen, die Vornamen, das Geburtsdatum, das Geschlecht oder eine Anschrift eindeutig festgestellt werden kann, und 2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke a) der Werbung oder b) des Adresshandels, es sei denn, die betroffene Person hat in die Übermittlung für jeweils diesen Zweck ausdrücklich eingewilligt. Noch vor Inkrafttreten des BMG wurde jedoch eine Änderung notwendig. Insbesondere war die Regelung hinsichtlich des Zeitpunkts des Inkrafttretens anzupassen, damit die entsprechenden Ermächtigungsgrundlagen für die Länder früher in Kraft treten als das übrige Gesetz. Die Landesgesetzgeber sollten so in die Lage versetzt werden, die ihnen per Verordnungsermächtigung zugewiesenen Regelungsbefugnisse auch gleichzeitig mit den Regelungen des Bundesmeldegesetzes in Kraft treten lassen zu können. §§ 55 bis 57 BMG sind daher bereits seit 26. November 2014 in Kraft. Das übrige Bundesmeldegesetz tritt nun- 65 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht mehr erst zum 01. November 2015 in Kraft und löst gleichzeitig das Melderechtsrahmengesetz ab. Darüber hinaus waren im BMG Anpassungen aufgrund der bereits erfolgten Gleichstellung von Ehen und Lebenspartnerschaften in § 2 Abs. 8 des Einkommenssteuergesetzes (EStG) vorzunehmen. Aus datenschutzrechtlicher Sicht ist zu begrüßen, dass hinsichtlich der in § 10 BMG normierten Auskunftsrechte der Betroffenen eine Klarstellung insoweit erfolgte, dass auch bei automatisierten Melderegisterauskünften dem Betroffenen im Einzelfall auf Antrag Auskunft über die Arten der übermittelten Daten und ihre Empfänger zu erteilen ist. Ebenso wurde in § 42 Abs. 1 BMG eine Klarstellung im Sinne des Arbeitnehmerdatenschutzes vorgenommen. Die Meldebehörde darf den öffentlich-rechtlichen Religionsgemeinschaften zwar unter bestimmten Voraussetzungen im Gesetz festgelegte personenbezogene Daten übermitteln, ausdrücklich jedoch nicht zu arbeitsrechtlichen Zwecken. 9.2 Anpassung des saarländischen Melderechts an das Bundesmeldegesetz Im Mai 2014 übersandte uns das Ministerium für Inneres und Sport im Rahmen der externen Anhörung zur Anpassung des saarländischen Melderechts an das Bundesmeldegesetz den Entwurf eines Gesetzes zur Ausführung des Bundesmeldegesetzes und zur Änderung weiterer Rechtsvorschriften, den Entwurf einer Verordnung über die Zulassung der regelmäßigen Übermittlung von Daten aus dem Melderegister an Behörden oder andere öffentliche Stellen, den Entwurf einer Melderechtsdurchführungsverordnung und den Entwurf einer Verordnung über die Bestimmung der nach dem Melderecht zuständigen Stelle als Vermittlungsstelle mit der Bitte um Stellungnahme. 9.2.1 Entwurf eines Gesetzes zur Ausführung des Bundesmeldegesetzes und zur Änderung weiterer Rechtsvorschriften (SaarlAGBMG-E) § 4 SaarlAGBMG-E regelt, welche Daten durch die saarländischen Meldebehörden grundsätzlich an öffentlich-rechtliche Religionsgesellschaften über deren Mitglieder und Familienangehörige übermittelt werden dürfen. Sofern jedoch ein Familienangehöriger gemäß § 42 Abs. 3 Satz 2 BMG von seinem Widerspruchsrecht Gebrauch macht, ist der ihn betreffende Datenkatalog auf die lediglich für Zwecke des Steuererhebungsrechts erforderlichen Daten zu begrenzen (§ 42 Abs. 3 Sätze 2 und 3 BMG). Zur Gewährleistung der Normenklarheit wurde unsererseits daher empfohlen, § 4 Abs. 1 Satz 2 SaarlAGBMG-E um den Halbsatz, … „soweit diese nicht von ihrem Widerspruchsrecht nach § 42 Abs. 3 Satz 2 Bundesmeldegesetz Gebrauch gemacht haben.“ zu ergänzen. Entgegen der zu § 4 SaarlAGBMG-E lautenden Überschrift „Datenübermittlungen an öffentlich-rechtliche Religionsgesellschaften“ soll Absatz 5 dieser beabsichtigten Norm nunmehr auch eine verpflichtende Datenübermittlung der öffentlich-rechtlichen Religionsgesellschaften an die Meldebehörden normieren. 66 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Zweifelsfrei gehört die Speicherung des Datums „rechtliche Zugehörigkeit zu einer öffentlich-rechtlichen Religionsgesellschaft“ nach § 3 Abs. 1 Nr. 11 BMG zur Aufgabenerfüllung der Meldebehörden. Die entsprechende Datenerhebungsnorm des § 24 Abs. 1 Satz 1 BMG erlaubt daher den Meldebehörden, dieses Datum beim Betroffenen zu erheben. Gleichzeitig verpflichtet § 25 BMG den Betroffenen zur entsprechenden Mitwirkung. Weder die in Abschnitt 4 des BMG festgelegten besonderen Meldepflichten noch die den Ländern gemäß § 55 BMG zugestandenen Regelungsbefugnisse lassen aber eine Datenübermittlung öffentlichrechtlicher Religionsgesellschaften an die Meldebehörden zu. Im Ergebnis mangelt es daher an einer entsprechenden Regelungskompetenz. Da dies in der Folge zu einer unzulässigen Datenübermittlung führen würde, haben wir daher die Streichung von § 4 Abs. 5 SaarlAGBMG-E angeregt. 9.2.2 Entwurf einer Verordnung über die Zulassung der regelmäßigen Übermittlung von Daten aus dem Melderegister an Behörden oder andere öffentliche Stellen (MeldDÜV-E) Wiederholt war festzustellen, dass sich die Zahl der Stellen, denen regelmäßig Daten aus dem Melderegister übermittelt werden sollen sowie auch die Zahl der Stellen, welchen eine Abrufbefugnis im automatisierten Abrufverfahren eingeräumt werden soll, erneut vergrößern sollte. In der Vergangenheit wurde durch unsere Dienststelle bereits mehrfach - auch in den Tätigkeitsberichten der letzten Jahre - darauf hingewiesen, dass durch die stetige Ausweitung der regelmäßigen Datenübermittlungen und Abrufbefugnisse das kommunale Melderegister immer mehr einem öffentlichen Register gleichkommt, was aber so durch den Gesetzgeber nicht beabsichtigt war. In unserer Stellungnahme zur Änderung der derzeit gültigen Meldedatenübermittlungsverordnung wurde daher bereits angeregt, in einer gesonderten, den automatisierten Abrufverfahren vorangestellten Norm Grundvoraussetzungen des Datenabrufs, technischorganisatorische Maßnahmen, die Protokollierung des Datenzugriffs und den Umgang mit den Protokolldaten für datenabrufende Stellen zu regeln. Daraufhin wurde seitens des Ministeriums für Inneres und Sport signalisiert, diese Anregung mit Blick auf die durch das BMG vorzunehmenden neuerlichen Änderungen der Meldedatenübermittlungsverordnung aufgreifen zu wollen. Durch die §§ 39 und 40 BMG (Verfahren des automatisierten Abrufs und Protokollierungspflicht bei automatisiertem Abruf) hat der Bundesgesetzgeber nunmehr bereits diesem Erfordernis Rechnung getragen. Dies zeigt deutlich, wie wichtig derartige grundsätzliche Verfahrensregelungen zur Bewusstseinsschärfung und auch für die Rechtssicherheit der handelnden Personen im Umgang mit personenbezogenen Daten sind. Ebenso wird hierdurch auch die Möglichkeit einer effektiven Datenschutzkontrolle gewährleistet. Mit der Vorschrift § 29 MeldDÜV-E soll dem SaarForst-Landesbetrieb erstmals die Möglichkeit eines automatisierten Abrufverfahrens einge- 67 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht richtet werden. In der Begründung hierzu wird lediglich ausgeführt, dass dies der Aufgabenerfüllung des SaarForst-Landesbetriebs diene, um den Aufklärungsprozess in Liegenschaftsangelegenheiten zu beschleunigen. Mit Blick auf das Erfordernis der Aufgabenerfüllung zur Zulässigkeit eines solchen Abrufverfahrens, halten wir es daher für geboten, ähnlich der zu § 41 MeldDÜV-E (Abrufverfahren für die öffentlich bestellten Vermessungsingenieure) gegebenen dezidierten Begründung, die entsprechenden Rechtsgrundlagen auch in der Begründung zum Abrufverfahren für den SaarForst auszuweisen. 9.2.3 Entwurf einer Melderechtsdurchführungsverordnung und Entwurf einer Verordnung über die Bestimmung der nach dem Melderecht zuständigen Stelle als Vermittlungsstelle Beide im Entwurf vorgelegten Verordnungen begegneten keinen datenschutzrechtlichen Bedenken. 68 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 10 Kommunales 10.1 Erstellung eines qualifizierten Mietspiegels Bei Mietspiegeln handelt es sich um Übersichten über die üblichen Entgelte für Wohnraum in einer Gemeinde. Von einem qualifizierten Mietspiegel nach § 558d Bürgerliches Gesetzbuch (BGB) spricht man, wenn er nach anerkannten wissenschaftlichen Grundsätzen erstellt und von der Gemeinde oder den Interessenvertretern der Vermieter und Mieter anerkannt wurde. Der qualifizierte Mietspiegel ist im Abstand von zwei Jahren der Marktentwicklung anzupassen und nach vier Jahren neu zu erstellen. Ein Landkreis hatte sich im Jahre 2008 für die Erstellung eines qualifizierten Mietspiegels entschieden und hierfür eine Mieter- bzw. Vermieterbefragung durch Versand entsprechender Erhebungsbögen durchgeführt. Im Tätigkeitsbericht 2007/2008 hatten wir bereits über das Beteiligungsverfahren und die zu beachtenden datenschutzrechtlichen Erfordernisse berichtet. Da nunmehr gemäß § 558d Abs. 2 Satz 3 BGB die Neuerstellung des Mietspiegels anstand, wandte sich der Landkreis zur Abstimmung des Verfahrens erneut an unsere Dienststelle. Mit dem Inkrafttreten des Mietrechtsänderungsgesetzes zum 01. Mai 2013 wurde das Merkmal „Energetische Ausstattung und Beschaffenheit“ neu eingefügt und somit klargestellt, dass die energetische Qualität von Wohnraum bei der Bildung der Vergleichsmiete (§ 558 BGB) zu berücksichtigen ist. Energetische Kriterien sollen so künftig auch in Mietspiegeln abgebildet werden. Der Landkreis beabsichtigte daher, auch energetische Differenzierungsmerkmale mittels eines an die Vermieter gerichteten Energiefragebogens zu erheben. Diese Vermieterbefragung sollte durch eigens hierfür geschulte Interviewer stattfinden und die erforderlichen Adressdaten mittels Stichprobe aus dem Melderegister gezogen werden. Da sich aber aus den Meldedaten nicht ergab, ob es sich bei der unter der gemeldeten Adresse wohnhaften Person um einen Mieter oder Vermieter handelte, sollte zusätzlich ein Abgleich mit den Grundsteuer–B-Daten durchgeführt werden. Gemäß § 31 Abs. 3 der Abgabenordnung (AO) sind die für die Verwaltung der Grundsteuer zuständigen Behörden berechtigt, die nach § 30 AO geschützten Namen und Anschriften von Grundstückseigentümern, die bei der Verwaltung der Grundsteuer bekannt geworden sind, zur Erfüllung sonstiger öffentlicher Aufgaben zu verwenden oder den hierfür zuständigen Behörden des öffentlichen Rechts auf Ersuchen mitzuteilen, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. Da die Gemeinden nach § 558c BGB Mietspiegel erstellen sollen, wenn hierfür ein Bedürfnis besteht, dies mit einem vertretbaren Aufwand möglich ist und ihnen demnach eine entsprechende öffentliche Aufgabe per Gesetz zugewiesen ist, begegnete die zuvor dargelegte Verfahrensweise keinen datenschutzrechtlichen Bedenken. 69 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Zur Erstellung des kreisweiten qualifizierten Mietspiegels sollte dann erneut eine Mieterbefragung durchgeführt werden, um einen Überblick über die ortsübliche Vergleichsmiete zu erhalten. Die Erhebung erfolgte über eine Stichprobenziehung aus der Einwohnermeldedatei, wobei für die Größe der Stichprobe die Einwohnerzahl der jeweiligen Gemeinde/Stadt maßgeblich war. Um erkennen zu können, ob es sich um eigengenutzte oder vermietete Objekte handelte, musste ebenfalls zusätzlich die Grundsteuer-B-Datei herangezogen werden. Zunächst wurden alle Mieter der Stichproben mit einem Kontaktbogen angeschrieben, um einerseits die mietspiegelrelevanten Objekte herauszufiltern und andererseits die Bereitschaft der Bürger zur Teilnahme an der Befragung abzuklären. Der mit uns abgestimmte Kontaktbogen wurde zusammen mit einem Anschreiben übersandt, in welchem präzise auf das Verfahren eingegangen, über die Datenschutzbestimmungen informiert und wiederholt auf die Freiwilligkeit der Beantwortung hingewiesen wurde. Das Anschreiben sollte bei dem Befragten verbleiben. Die zurückzusendenden Kontaktbogen enthielten keine Adressdaten, sondern wurden mit einer Identifikationsnummer versehen, damit kein Dritter einen Bezug zwischen Anschrift und Fragebogen herstellen konnte. Bei freiwilliger Teilnahme, also Rückübersendung des ausgefüllten Fragebogens, wurde über die Identifikationsnummer der Bezug hergestellt und geprüft. Sofern es sich um ein mietspiegelrelevantes Objekt handelte, wurde ein beauftragter Interviewer (Erhebungsbeauftragter) zu der Kontaktadresse gesandt, um ein Vollinterview (Hauptfragebogen) durchzuführen. Zuvor waren jedoch mit sämtlichen Interviewern entsprechende Werkverträge zu schließen, die den besonderen Erfordernissen nach § 5 SDSG (Auftragsdatenverarbeitung) Rechnung tragen mussten. Ebenso wurden alle Interviewer vor ihrem Einsatz auf das Datengeheimnis verpflichtet und geschult. Sobald der Interviewer alle Befragungen zu den ihm zugewiesenen Objekten erledigt hatte, musste er alle Unterlagen beim beauftragenden Landkreis abgeben. Sodann wurden die Fragebogen auf Vollständigkeit und Auswertbarkeit überprüft. Nach Abschluss des Prüfverfahrens wurden die Namen und Adressen der Teilnehmer gelöscht. Stellte sich heraus, dass die Anzahl auswertbarer mietspiegelrelevanter Fragebogen für eine statistische Auswertung nicht ausreichte, war eine zweite Erhebung durchzuführen. Der Landkreis hat sämtliche Verfahrensschritte, wie Stichprobenziehung, Datenabgleiche, Versand der Fragebogen, Rücklaufkontrolle, Einsatz der Interviewer sowie Auswertung und Löschkonzept frühzeitig mit uns abgestimmt, sodass nach Vorlage der erforderlichen Verfahrensbeschreibung keine datenschutzrechtlichen Bedenken gegen das geschilderte Procedere bestanden. 10.2 Einsatz von Smartphones als Dienstgeräte Aufgrund der geplanten Anschaffung von Smartphones zur Erfassung von Verkehrsordnungswidrigkeiten durch ihre Hilfspolizeibeamten wandte sich eine Gemeinde an unsere Dienststelle. Nach Angaben des Ordnungsamtes würden bei der Verwendung von Smartphones erfasste Daten, wie das Kfz-Kennzeichen sowie Ort und Zeit der Ordnungswidrigkeit, auf Servern der beauftragten Software-GmbH gehostet, wäh- 70 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht rend Name, Geburtsdatum und weitere persönliche Daten nur beim Ordnungsamt gespeichert und weiterverarbeitet würden. Die Gemeinde bat uns um eine datenschutzrechtliche Stellungnahme hinsichtlich des Einsatzes der Smartphones sowie um Mitteilung gegebenenfalls zu treffender Sicherheitsvorkehrungen. Beim Einsatz von Smartphones als Dienstgeräte ist zunächst festzuhalten, dass angesichts der umfangreichen Möglichkeiten zur Ortung von Mitarbeitern und Erstellung von Bewegungsprofilen, gerade beim Einsatz zu dienstlichen Zwecken, Vorsicht geboten ist. Diesbezüglich erhobene Daten dürfen auf keinen Fall zu einer Verhaltens- oder Leistungskontrolle der Mitarbeiter i. S. d. § 31 Abs. 5 SDSG genutzt werden. Dies sollte auch in einer Dienstvereinbarung mit dem Personalrat festgehalten werden. Daneben sind zur Abwehr von Hackerangriffen und zur Verhinderung von Zugriffen auf das Smartphone durch die Betriebssystem- und AppHersteller umfassende Sicherheitsmaßnahmen zu implementieren, die einen Schutz von eventuell auf dem Smartphone gespeicherten personenbezogenen Daten oder Zugangsdaten zu Systemen nichtöffentlicher Stellen gewährleisten. Diese Schutzmaßnahmen sind so zu gestalten, dass das mobile Gerät lediglich als Zugangspunkt zu den Servern der öffentlichen Stelle fungiert. Die eigentliche Tätigkeit ist demnach nur auf dem Server auszuführen, damit keine Daten auf dem mobilen Gerät selbst abgelegt werden. Da jedoch trotzdem Daten, beispielsweise während des E-MailSynchronisationsvorgangs auf dem Smartphone abgelegt werden, muss zusätzlich der Zugriff auf das Gerät mittels ausreichend sicheren Passworts/PIN abgesichert werden. Darüber hinaus soll nach mehrmaliger Falscheingabe der PIN eine automatische, vollständige Löschung der auf dem Gerät gespeicherten Daten erfolgen. Nach Angaben der Gemeinde soll zwischen mobilem Gerät (Remotedatenbank) und Server (Hostdatenbank) eine Ende-zu-EndeVerschlüsselung erfolgen, wobei eine RSA-Verschlüsselung integriert sei. Hierbei ist vor allem die Schlüssellänge (Blocklänge) für die Sicherheit maßgeblich. Allerdings nimmt der Berechnungsaufwand eines geheimen RSA-Schlüssels angesichts der steigenden Rechnerkapazitäten fortlaufend ab, sodass diese Art der Verschlüsselung letztlich nur als relativ sicher eingestuft werden kann. Weiterhin müssen eindeutige Regelungen dahingehend getroffen werden, ob oder inwieweit eine private Nutzung des Dienstgerätes gestattet sein soll. Lässt man diese zu, muss sichergestellt werden, dass keine dienstlichen Daten in als privat eingestufte Online-Dienste (wie Facebook, Twitter u.a.) kopiert und damit verschickt werden können. Überdies sollten mittels einer Dienstvereinbarung diejenigen Anwendungen genau bestimmt werden, welche installiert und genutzt werden dürfen. Letztlich sollte der jeweiligen IT-Abteilung die Möglichkeit eingeräumt werden, im Falle des Verlusts oder Diebstahls des Geräts dienstliche personenbezogene Daten vollständig vom Smartphone aus der Ferne zu löschen. Daneben muss auf dem Gerät eine Sicherheitssoftware (Virenschutz etc.) installiert sein und außerdem durch eine zentrale Konfiguration und Verteilung der Sicherheitseinstellung verhindert werden, dass ein durch Viren befallenes Gerät eine Bedrohung für die gesamte IT-Infrastruktur der öffentlichen Stelle wird. Auch für die Entsorgung der 71 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Geräte müssen Regelungen getroffen werden um sicher zu gehen, dass keine personenbezogenen Daten mehr auf dem Smartphone gespeichert sind. Diese technischen Aspekte und Sicherheitsvoraussetzungen teilte unsere Dienststelle der Gemeinde mit und empfahl gleichzeitig, von einer Verwendung dienstlich bereitgestellter Smartphones aus datenschutzrechtlicher Sicht solange abzusehen, wie die genannten Anforderungen nicht erfüllt sind. 10.3 Nutzung dienstlicher Unterlagen durch einen Hilfspolizeibeamten für private Zwecke Im Dezember 2013 wandte sich ein Petent an unsere Dienststelle, da er sich und seine Ehefrau durch die Datenerhebung und -verarbeitung durch einen Hilfspolizeibeamten einer saarländischen Gemeinde in seinem informationellen Selbstbestimmungsrecht verletzt sah. Aufgrund eines Vorfalls im öffentlichen Straßenverkehr erstattete der Petent Anzeige gegen eine Privatperson wegen Nötigung im Straßenverkehr. Die daraufhin zur Stellungnahme aufgeforderte Privatperson legte zunächst dar, dass sie sich an den besagten Vorfall nicht mehr erinnern könne. Ergänzend führte sie jedoch aus, Nachforschungen in ihren dienstlichen Unterlagen, welche ihr aufgrund ihrer dienstlichen Tätigkeit als Hilfspolizeibeamter zur Verfügung standen, durchgeführt zu haben. Es handelte sich dabei um bereits einige mehrere Jahre zurückliegende und somit verjährte Verwarn- und Bußgeldverfahren gegen den Petenten und seine Ehefrau. Diese Unterlagen fügte der Beschuldigte seiner Stellungnahme bei, um die Glaubwürdigkeit des Anzeigenerstatters zu erschüttern. Bei den Unterlagen handelte es sich um sogenannte Datenblätter, d.h. Ausdrucke aus einem maschinellen Verfahren zur Bearbeitung von Verkehrsordnungswidrigkeiten. Allerdings war auf den uns zur Verfügung gestellten Kopien nicht ersichtlich, wann die Ausdrucke erstellt wurden. Die Verwarn- und Bußgeldverfahren datierten aus den Jahren 2006 und 2009 und waren vom Petenten bzw. seiner Ehefrau hinsichtlich der Forderungshöhe zeitnah beglichen worden, so dass bereits eine Löschung der Datenbestände hätte erfolgt sein müssen. Daher stellte sich zunächst die Frage, ob der Hilfspolizeibeamte ein eigenes Archiv ohne Genehmigung des Dienstherrn führte oder die für das Verfahren verantwortliche Kommune ihren Löschpflichten nicht nachgekommen war und der Hilfspolizeibeamte auf ihm noch dienstlich zur Verfügung stehende Daten zugegriffen hatte. Wir haben daher die betreffende Gemeinde um entsprechende Stellungnahme sowie um Vorlage der für das Verfahren nach § 9 Saarländisches Datenschutzgesetz (SDSG) zu führende Verfahrensbeschreibung inklusive der Festlegungen im Rechte-Rollenkonzept zum Verfahren gebeten. Auch welche Protokolldaten durch die Nutzung des Verfahrens erhoben und wie lange diese gespeichert werden, sollte von der Gemeinde dargelegt werden. Erst nach mehrfachen schriftlichen und telefonischen Erinnerungen erhielten wir Monate später eine erste schriftliche Stellungnahme. Hiernach handelte es sich bei den durch den Hilfspolizeibeamten beigefügten Unterlagen um Ausdrucke aus dem Programm OWI-ASSISTENT, 72 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht eine Software zur Bearbeitung von Verkehrsordnungswidrigkeitsverfahren. Diese war bei der betreffenden Kommune von 2002 bis 2011 im Einsatz und wurde ab 2012 von dem Programm WiNOWiG abgelöst. Eine Migration der in OWI-ASSISTENT noch zu führenden Datenbestände in das Programm WiNOWiG fand nicht statt. Nach der Neuinstallation des Programm WiNOWiG sollten daher noch benötigte Datenbestände für eine Übergangsphase in OWI-ASSISTENT den Anwendern zur Verfügung stehen. Aufgrund unserer Bitte um Stellungnahme wurde festgestellt, dass die Gemeinde vergessen hatte, das nicht mehr benötigte Verfahren OWI-ASSISTENT abzuschalten, den Anwendern die Zugriffsberechtigungen zu entziehen und die längst zur Löschung anstehenden Datenbestände zu löschen. Weder für das Altverfahren OWIASSISTENT noch für das im Einsatz befindliche Verfahren WiNOWiG konnte die erforderliche Verfahrensbeschreibung vorgelegt werden. Aufgrund unserer Intervention wurden die Datenbestände des Altverfahrens umgehend gelöscht. Die Kommune wurde ausdrücklich auf die Beteiligungspflichten unserer Dienststelle vor dem Einsatz eines automatisierten Verfahrens nach § 7 Abs. 2 SDSG sowie unser entsprechendes Internetangebot unter www.datenschutz.saarland.de hingewiesen und aufgefordert, die erforderliche Verfahrensbeschreibung für das Verfahren WiNOWiG umgehend zur Prüfung vorzulegen. Zwischenzeitlich erfolgte die ordnungsgemäße Beteiligung unserer Dienststelle für das bereits im Einsatz befindliche Verfahren (WiNOWiG) nach §§ 9 i.V.m. 7 Abs. 2 SDSG. Hinsichtlich des Löschkonzepts mussten wir jedoch nochmals ausdrücklich darauf hinweisen, dass mit Begleichen eines festgesetzten Verwarnungsgeldes auch die Erledigung des Verfahrens nach § 94c Ordnungswidrigkeitengesetz (OWiG) i.V.m. § 483 Strafprozessordnung (StPO) erreicht wird und die erhobenen Daten sodann zeitnah zu löschen sind. Die betreffende Kommune hat sich daraufhin mit dem Softwareanbieter ins Benehmen gesetzt und in Abstimmung mit unserer Dienststelle die Anonymisierung personenbezogener Daten in Verwarngeldfällen vier Wochen nach Abschluss des Verfahrens und die Löschung der anonymisierten Daten nach 14 Monaten realisiert. Die anonymisierten Daten werden für statistische Auswertungen benötigt. Im Ergebnis pflegte der Hilfspolizeibeamte demnach keine eigenen Datenbestände, sondern erstellte einen Ausdruck aus den ihm dienstlich zur Verfügung stehenden Datenbestände, wenngleich diese zum maßgeblichen Zeitpunkt bereits hätten gelöscht sein müssen. Als datenschutzrechtlich unzulässig ist aber in jedem Fall die Nutzung dienstlich zugänglicher personenbezogener Daten durch den Hilfspolizeibeamten für private Zwecke zu bewerten. Gegenüber der Gemeinde wurde daher eingefordert, die Mitarbeiter nochmals ausdrücklich darüber zu informieren, dass eine Nutzung von in dienstlichem Zusammenhang zugänglichen personenbezogenen Daten für private Zwecke unzulässig ist und entsprechende Bußgeldverfahren nach sich ziehen kann. Im konkreten Fall wird die Einleitung eines Bußgeldverfahrens noch geprüft. 73 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 10.4 Veröffentlichung nicht-öffentlicher Dokumente im Bürgerinformationssystem Infolge eines Presseartikels wurden wir darauf aufmerksam, dass mehrere nicht-öffentliche Dokumente einer saarländischen Stadt im Bürgerinformationssystem via Internet veröffentlicht wurden. Nach Angaben der Presse handelte es sich hierbei insbesondere um Dokumente in Beschäftigtenangelegenheiten, wobei Ergebnisse von Bewerbungsverfahren sowie die Namen der Bewerber öffentlich zugänglich gemacht wurden. Unsere Dienststelle bat daher die Kommune um eine Stellungnahme hinsichtlich der Art der Dokumente und der Ursache sowie des Ausmaßes der unzulässigen Datenübermittlung. Weiterhin wurde um Mitteilung gebeten, inwieweit bereits Behebungsmaßnahmen getroffen wurden und wie derartige Vorkommnisse künftig vermieden werden können. Seitens der Stadt teilte man uns daraufhin umgehend mit, dass es sich bei den veröffentlichten Dokumenten um personenbezogene Daten in Form von sensiblen Daten handelte. Daneben wurden unter anderem nicht-öffentliche Sitzungsteile ins Internet gestellt. Statt eines systemtechnischen Fehlers lag die Ursache der Dokumentenveröffentlichung jedoch in der fehlerhaften Einstellung der Vorlagen und ist demnach vielmehr auf ein menschliches Versagen zurückzuführen. Zur Eindämmung der Auswirkungen wurden die Daten allerdings sofort im Wege einer intensiven Kontrolle aller für das Bürgerinformationssystem freigegebenen Vorlagen in diesem gelöscht. Im Hinblick auf entsprechende Präventivmaßnahmen zwecks künftiger Vermeidung derartiger Vorfälle informierte man uns darüber, dass einerseits alle mit der Einstellung von Unterlagen in das System befassten Mitarbeiter erneut einen schriftlichen Hinweis auf die Datenschutzvorschriften erhalten sollten und andererseits eine regelmäßige Kontrolle des Öffentlichkeitsstatus erfolgen solle. Aus datenschutzrechtlicher Perspektive sahen wir somit aufgrund der ausführlichen Stellungnahme und der angemessenen Präventivmaßnahmen keine weiteren Bedenken. 10.5 Übermittlung personenbezogener Daten aus dem Gewerberegister an natürliche Personen Eine Petentin wandte sich an unsere Dienststelle mit der Frage, inwieweit und unter welchen Voraussetzungen ein Gewerbeamt Auskünfte aus dem Gewerberegister an Dritte erteilen dürfe. Infolge der Abmeldung ihres Hauptgewerbes und der damit einhergehenden Schließung ihres Cafés sei sie von einem Mann auf ihrer privaten Telefonnummer angerufen worden, welcher einen zuvor käuflich erworbenen Gutschein einlösen wollte. Auf Nachfrage der Petentin stellte sich heraus, dass der Anrufer ihre Telefonnummer vom Gewerbeamt erhalten hatte. Daraufhin bat sie unsere Dienststelle, sowohl die Grundlage der Auskunftserteilung als auch deren Voraussetzungen bei der Gemeinde in Erfahrung zu bringen. 74 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Auf eine diesbezügliche Nachfrage hin bestätigte die Gemeinde, dass tatsächlich eine Auskunft durch die zuständigen Mitarbeiter erteilt wurde. Hinsichtlich der in Betracht kommenden Rechtsgrundlage verwies sie auf § 14 Gewerbeordnung (GewO), welcher sowohl die Grundlage für eine Gewerberegisterauskunft als auch deren Voraussetzungen normiere. Nach dessen Absatz 5 dürfen der Name, die betriebliche Anschrift und die angezeigte Tätigkeit des Gewerbetreibenden allgemein zugänglich gemacht werden. Für alle weitergehenden Daten ist nach § 14 Abs. 7 GewO seitens des Empfängers ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft zu machen. Ein solches Interesse läge insbesondere im Falle der Geltendmachung von Rechtsansprüchen vor. Vorliegend erfolgte die Auskunftserteilung zum Zweck der Geltendmachung eventueller Rückzahlungsansprüche, sodass ein rechtliches Interesse zu bejahen sei. Weiteren telefonischen Auskunftsanfragen sei mit einem Verweis auf eine schriftliche Formulierung des Anliegens begegnet worden. Angesichts dieser Sachlage bestehen hinsichtlich der mit dem Gewerberegister verbundenen Datenübermittlung keine datenschutzrechtlichen Bedenken, da eine erforderliche Rechtsgrundlage in Form des § 14 GewO vorlag und überdies eine durchzuführende Interessenabwägung von der Gemeinde in ausführlicher Weise vorgenommen wurde. 10.6 Aushang zu Sitzungsterminen des Kreisrechtsausschusses Im Berichtszeitraum teilte eine Petentin unserer Dienststelle mit, dass ihr bei einem mündlichen Verhandlungstermin vor einem Kreisrechtsausschuss ein Aushang an der Tür des Sitzungssaales aufgefallen war. Hierauf befanden sich neben Streitgegenständen und entsprechenden Aktenzeichen auch Namen, Vornamen sowie vollständige Adressdaten der streitenden Parteien. In der Annahme, dass es sich hierbei um Datenschutzverletzungen handele, wandte sich die Petentin mit der Bitte um Überprüfung an unsere Dienststelle. Sitzungen des Rechtsausschusses sind nach § 16 Abs. 2 Ausführungsgesetz zur Verwaltungsgerichtsordnung (AGVwGO) zwar grundsätzlich öffentlich, allerdings ist hierbei der Begriff der Öffentlichkeit dahingehend zu verstehen, dass Räumlichkeiten, in denen die Verhandlung stattfindet, während dieser Dauer jedermann zugänglich sein müssen. Hingegen ist es nicht erforderlich, dass eine Verhandlung in jedem Fall durch Aushang bekanntgegeben werden muss. Vielmehr bedarf es keiner an jedermann gerichteten Bekanntgabe, um dem Öffentlichkeitsgrundsatz des § 16 Abs. 2 AGVwGO zu genügen. Darüber hinaus besteht unserer Ansicht nach kein Anlass, diesen für Sitzungen des Kreisrechtsausschuss geltenden Grundsatz von der Öffentlichkeit von Gerichtsverhandlungen zu unterscheiden oder anders zu bewerten. Unsere Dienststelle forderte daraufhin den Landkreis zur Beschränkung künftiger Aushänge auf das erforderliche Maß auf. Mit Hinweis auf die räumliche Bedeutung des hier maßgeblichen Öffentlichkeitsbegriffes baten wir zudem um eine datenschutzkonforme Ausgestaltung der 75 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Aushänge, die nunmehr allenfalls Namen und Anfangsbuchstaben des Vornamens, sowie korrespondierende Aktenzeichen enthalten sollten. 76 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 11 Wahlen 11.1 Änderung des Kommunalwahlgesetzes (KWG) Im Oktober 2013 wurde unsere Dienststelle gebeten, zum Entwurf eines Gesetzes zur Änderung des Kommunalwahlgesetzes Stellung zu nehmen. Datenschutzrechtlich relevant war insbesondere die beabsichtigte Befugnisnorm des § 96 Abs. 2 KWG Saarland (LT-Drucks.: 15/669), welche künftig die Möglichkeit der zusätzlichen Veröffentlichung von Bekanntmachungen nach dem KWG und der Kommunalwahlordnung im Internet schaffen sollte. Ziel des Änderungsgesetzes war unter anderem eine Angleichung des Kommunalwahlrechts an § 86 Abs. 3 Bundeswahlordnung (BWO), welcher bereits die Veröffentlichung von Bekanntmachungen nach der BWO im Internet vorsieht. Die Veröffentlichungen umfassen Namen, Beruf oder Stand, Geburtsjahr- und -ort sowie Wohnort eines Wahlbewerbers. Mit der zusätzlichen Veröffentlichung von Bekanntmachungen im Internet soll die Zugänglichkeit der Informationen erleichtert und dem Grundsatz der Öffentlichkeit der Wahl (§ 33 KWG) Rechnung getragen werden. Das Unabhängige Datenschutzzentrum wurde insbesondere zu den erforderlichen Löschfristen bezüglich der im Internet veröffentlichten Daten angehört. Der Entwurf sah bereits vor, dass die Daten spätestens sechs Monate nach Bekanntgabe des endgültigen Wahlergebnisses in Bezug auf gescheiterte Bewerber bzw. sechs Monate nach Ende der Amtszeit einer Person gelöscht werden müssen. Gerade die dezidierte Festlegung von Löschfristen trägt datenschutzrechtlichen Anforderungen Rechnung. Sie garantiert die informationelle Selbstbestimmung dahingehend, dass der Betroffene die maximale Veröffentlichungsdauer seiner Daten im Internet abschätzen kann. Hinsichtlich der Löschfrist personenbezogener Daten von gewählten Bewerbern geht der Entwurf sogar über das datenschutzrechtliche Schutzniveau des Bundesrechts hinaus. Durch die Löschung sechs Monate nach Ende der Amtszeit werden gerade auch vorzeitige Beendigungen von Amtszeiten berücksichtigt. Deshalb bestanden aus datenschutzrechtlicher Perspektive keine Bedenken gegen den vorgelegten Entwurf eines Gesetzes zur Änderung des Kommunalwahlgesetzes. 77 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 11.2 Wahlstatistik Art. 38 Grundgesetz (GG) schützt u.a. das Wahlgeheimnis bei Bundestagswahlen. Dennoch werden im Rahmen der Wahlen Daten über die Wähler aus rein statistischen Zwecken in anonymer Form erhoben. Rechtsgrundlage für die Erhebung bestimmter Merkmale wie Wahlberechtigte, Wahlscheinvermerk, Beteiligung an der Wahl, Geburtsjahresgruppe und Geschlecht im Zusammenhang mit der Bundestagswahl ist § 54 des Wahlstatistikgesetzes (WStatG). Stichprobenartig werden hierfür bestimmte Wahlbezirke einer Gemeinde ausgewählt. Die Gemeinde ist nach § 5 Abs. 1 des WStatG verpflichtet, diese Merkmale zu erheben und auszuwerten. Für die Auswertung wird ein besonderer Stimmzettel mit Unterscheidungsaufdruck nach Geschlecht und Altersgruppe erstellt. Im Berichtszeitraum wurden wir durch Eingaben darauf aufmerksam gemacht, dass in vereinzelten Fällen ältere Personen nach ihrem konkreten Alter befragt wurden. Wahlhelfer wollten somit die Einordnung in die Geburtsjahresgruppen vornehmen, die das WStatG vorsieht. Aus datenschutzrechtlicher Sicht ist es jedoch weder erforderlich noch durch § 54 WStatG legitimiert, nach dem konkreten Alter der betroffenen Wähler zu fragen. Eine Erklärung der jeweiligen Geburtsjahresgruppen und die Frage zu welcher der Gruppen der Wähler gehört wären ausreichend gewesen. Hier sind zur Gewährleistung von Transparenz konkrete Hinweise auf das Wahlstatistikgesetz, insbesondere auf die Vorschriften § 54 und § 5 Abs. 1 WStatG zu geben. Zudem sollte darüber hinaus der Flyer des Bundeswahlleiters zur Durchführung der repräsentativen Wahlstatistik als auch ein Ausdruck des WStatG in den ausgewählten Wahllokalen ausliegen. 11.3 Einsatz der Software PC-Wahl zur Durchführung von Wahlen Zur Organisation von Wahlen müssen im Vorfeld oft personenbezogene Daten verarbeitet werden. Die Wählerlisten müssen geführt und die Wahlbescheinigungen versendet werden. Diese Aufgabe kann von den Kommunen durch den Einsatz von spezieller Wahl-Software vereinfacht werden. Da hierbei die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit Hilfe programmgesteuerter Anlagen durchgeführt werden soll, ist vor dem erstmaligen Einsatz eines automatisierten Verfahrens gemäß § 11 Abs. 1 Satz 1 Saarländisches Datenschutzgesetz (SDSG) zunächst durch den behördlichen Datenschutzbeauftragten im Rahmen einer sogenannten Vorab-kontrolle zu prüfen, welche Gefahren durch den Einsatz des beabsichtigten Systems für das informationelle Selbstbestimmungsrecht der Betroffenen erwachsen können. Für die praktische Umsetzung ist es empfehlenswert, mit Blick auf das Schutz- 78 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht stufenkonzept und die Umsetzung technisch-organisatorischer Maßnahmen, den IT-Sicherheitsbeauftragten und/oder die jeweiligen ITFachleute der Behörde zu beteiligen. Aufbauend auf den Erkenntnissen der Vorabkontrolle kann sodann die entsprechende Verfahrensbeschreibung (§ 9 SDSG) erstellt werden, welche anschließend unserer Dienststelle im Rahmen des Beteiligungsverfahrens nach § 7 Abs. 2 Satz 5 SDSG vorzulegen ist. Im Berichtszeitraum wurde vom Unabhängigen Datenschutzzentrum die Einführung einer neuen Wahlsoftware durch einen Landkreis begleitet. Nach Durchführung der Vorabkontrolle zeigte der behördliche Datenschutzbeauftragte des Landkreises den beabsichtigten Einsatz dieser Wahlsoftware an. In Bezug auf ein Programm zur Organisation einer Wahl sind dabei insbesondere die Löschfristen zu beachten, die sich aus § 90 Bundeswahlordnung, § 83 Europawahlordnung, § 60 Kommunalwahlordnung und § 66 Landeswahlordnung des Saarlandes für die Aufbewahrung und Vernichtung von Wahlunterlagen ergeben. Die zuvor durch den Landkreis beabsichtigte dauerhafte Speicherung konnte daher aus datenschutzrechtlicher Sicht nicht toleriert werden. Mit der Maßgabe die sich aus den Wahlrechtsordnungen ergebenden Löschfristen programmseitig einzuhalten, konnte der Einsatz der Wahlsoftware PC-Wahl als datenschutzrechtlich unbedenklich bewertet werden. 79 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 12 Öffentliche Wirtschaft 12.1 Vergabeplattform des Landesamtes für Zentrale Dienste Das Landesamt für Zentrale Dienste veröffentlicht aktuelle Ausschreibungen nicht nur in den Amtlichen Bekanntmachungsblättern, sondern auch im Internet. Neben dem postalischen Versand der Ausschreibungsunterlagen wird interessierten Unternehmen auch der Download dieser Unterlagen angeboten. Eine Registrierung der Unternehmen, die den Download-Weg wählten, erfolgte bisher nicht. Obwohl die Ausschreibungsunterlagen eine eindeutige und erschöpfende Leistungsbeschreibung enthalten sollen, kann es dennoch im Laufe des Ausschreibungsverfahrens zu Korrekturen kommen, die allen Bewerbern bekannt gemacht werden müssen. Dies ist insbesondere der Fall, wenn einem Bewerber ein Fehler in der Ausschreibung auffällt. Die Korrektur muss dann allen Bewerbern mitgeteilt werden. Dies ist unproblematisch bei Bewerbern, die die Unterlagen schriftlich angefordert haben, da deren Kontaktdaten vorhanden sind. Sind die Ausschreibungsunterlagen jedoch über das Internet heruntergeladen worden, hatte die ausschreibende Stelle bisher keine Kontaktdaten. Eine Gleichbehandlung der Bewerber, die in § 97 Absatz 2 des Gesetzes gegen Wettbewerbsbeschränkung (GWB) gefordert ist, konnte so nicht gewährleistet werden. Das Landesamt für Zentrale Dienste beabsichtigt deshalb dem Downloadbereich eine Seite vorzuschalten, auf der zumindest die E-MailAdresse des Bewerbers einzutragen ist. Weitere Kontaktdaten sollen freiwillig angegeben werden können. Aus datenschutzrechtlicher Sicht bestehen keine Bedenken die E-MailAdresse zu speichern, da sie der ordnungsgemäßen Durchführung des Ausschreibungsverfahrens dient. Das Landesamt wurde jedoch darauf hingewiesen, dass in der Erfassungsmaske auch der mit der Erhebung der Kontaktdaten verbundene Zweck darzustellen ist. 12.2 Energieversorger und Mieterdaten In mehreren Eingaben wurde von Hausverwaltungen und Eigentümern die Frage an uns herangetragen, ob und in welchem Umfang Mieterdaten an die Energieversorger weitergegeben werden dürfen und ob Energieversorger die Daten des Wohnungs-/Hauseigentümers vorhalten dürfen. Energieversorger, insbesondere die für die Grundversorgung zuständigen Lieferanten, benötigen selbstverständlich Informationen darüber, wer an einem Netzanschluss Strom entnimmt. Zur Grundversorgung gehört, dass in jeder Wohnung die Möglichkeit besteht, Energie aus dem öffentlichen Stromnetz zu entnehmen. 80 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bei Bezug einer Immobilie durch einen neuen Mieter wird häufig schon Strom entnommen, ohne dass bereits ein schriftlicher Vertrag mit dem Energieversorger vorliegt. Grundsätzlich wird in einem solchen Fall ein konkludenter Vertragsschluss angenommen, da in dem Leistungsangebot eines Versorgungsunternehmens ein Vertragsangebot zum Abschluss eines Versorgungsvertrags in Form einer sogenannten Realofferte gesehen wird, der von demjenigen angenommen wird, der aus dem Leitungsnetz des Versorgungsunternehmens Elektrizität entnimmt. In diesen Fällen ist das Interesse des Grundversorgers darauf gerichtet die Person des Entnehmers bzw. Vertragspartners zu identifizieren. Dem Grundversorger muss es dementsprechend möglich sein über den Eigentümer die Information zu erhalten, ob die Immobilie selbst genutzt wird, leer steht oder neu vermietet ist. Die dazu zuvorderst notwendige Erhebung und Nutzung der Daten des Immobilieneigentümers durch den Grundversorger ist nach § 28 Abs. 1 Satz 1 Nr. 2 Bundesdatenschutzgesetz (BDSG) zulässig. Dem berechtigten Interesse des Grundversorgers, den tatsächlichen Vertragspartner zu ermitteln, steht dabei regelmäßig kein überwiegendes schutzwürdiges Interesse des Immobilieneigentümers im Zusammenhang mit der Datenerhebung bzw. -nutzung durch den Grundversorger entgegen. Die Übermittlung der für den Vertragsschluss des Grundversorgers mit dem Mieter erforderlichen Daten durch den Eigentümer bzw. die Hausverwaltung erfolgt dann nach § 28 Abs. 2 Nr. 2a BDSG datenschutzrechtlich zulässig, da die Weitergabe dieser Daten zur Wahrung der berechtigten Interessen des Grundversorgers, mithin die Identität des Stromabnehmers zu erfahren, erforderlich ist. Die hierfür erforderlichen Daten sind Name, Anschrift und Beginn des Mietverhältnisses. Den Petenten wurde daher mitgeteilt, dass aus datenschutzrechtlicher Sicht keine Bedenken gegen die Übermittlung der Mieterdaten an den Grundversorger bestehen. 12.3 Erhebung von Kundendaten durch eine Sparkasse Bereits in unserem 24. Tätigkeitsbericht (Kapitel 18.6.2) haben wir dargelegt, unter welchen Voraussetzungen ein Kreditinstitut von seinen Kunden die Vorlage bzw. eine Kopie des Personalausweises verlangen darf. In diesem Berichtszeitraum beschäftigte uns diese Problematik erneut. Im Juni 2013 reichte uns ein Sparkassenkunde einen Brief mit folgendem Wortlaut (Auszug) ein: „… aufgrund gesetzlicher Regelungen sind wir verpflichtet, bei jedem unserer Kunden zusätzlich zu Namen und Anschrift folgende Daten zu erfassen: - vollständige Legitimation und Staatsangehörigkeit - Geburtsort - Beruf 81 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bitte teilen Sie uns Ihren Beruf mit und senden Sie uns bis spätestens zum 20. Juni 2013 eine Kopie (Vorder- und Rückseite) Ihres derzeit gültigen Personalausweises oder Reisepasses. Andernfalls dürfen wir auf Ihrem Konto keine Verfügungen mehr zulassen. Sie können uns die Unterlagen auf dem für Sie angenehmsten Weg zukommen lassen: - per Mail an … - per Post an … - Selbstverständlich können Sie auch auf einer unserer Filialen vorbeikommen. Die Kollegen vor Ort fertigen gerne eine Ausweiskopie an und leiten sie an uns weiter. …“ Das Vorgehen der Sparkasse war insbesondere hinsichtlich der angeforderten vollständigen Kopie des Personalausweises für uns nicht nachvollziehbar, da wir gegenüber den Sparkassen bereits wiederholt darauf hingewiesen hatten, dass eine vollständige Kopie des Personalausweises gerade nicht erforderlich ist. Zwar ist es unstrittig, dass das Kreditinstitut nach § 4 Abs. 4 und § 8 Abs. 1 Satz 2 Geldwäschegesetz (GwG) die nach § 4 Abs. 3 GwG erforderlichen Daten Name, Geburtsdatum, Adressdaten, Geburtsort, Staatsangehörigkeit sowie Art, Nummer und ausstellende Behörde des Legitimationspapiers zu erheben und aufzuzeichnen hat, grundsätzlich ist hierfür jedoch die Vorlage des Ausweisdokumentes ausreichend. Eine Kopie des Ausweisdokuments darf von dem Kreditinstitut hingegen nicht ohne weiteres gefordert werden, vielmehr ist hierfür eine Einwilligung des Kunden erforderlich. Insbesondere ist der Kunde darauf hinzuweisen, dass auf dem Dokument enthaltene Daten, die nicht zur Identifizierung benötigt werden, wie z. B. die 6-stellige Zugangsnummer, Größe und Augenfarbe geschwärzt werden sollen. Ungeachtet des Umstandes, dass vorliegend bereits die Anforderung einer vollständigen Kopie des Ausweisdokuments nicht zulässig war, ist auch die dem Kunden angebotene Möglichkeit, diese personenbezogenen Daten per E-Mail zu übersenden, datenschutzrechtlich zu beanstanden. Da eine Kenntnisnahme Dritter bei einem unverschlüsselten Versand personenbezogener Daten per E-Mail über das Internet nicht ausgeschlossen werden kann, sollte keine Empfehlung zur Kommunikation auf diesem völlig ungesicherten Weg ausgesprochen werden. Soweit die Sparkasse zur Erfüllung einer Meldepflicht gegenüber der Deutschen Bundesbank die Angabe des Berufes des Kunden gefordert hatte, geht dies über die Anforderungen zur Berichtspflicht hinaus, da die von der Sparkasse angeführte Richtlinie lediglich die Mitteilung der Angaben „wirtschaftlich Selbstständige“, „wirtschaftlich Unselbstständige“ und „sonstige Privatpersonen“ vorsieht. Die Sparkasse wurde auf die datenschutzrechtlichen Bedenken gegen ihre Verfahrensweise hingewiesen und aufgefordert, den datenschutzrechtlichen Anforderungen zukünftig Rechnung zu tragen. Diese sicherte zu, ihre Mitarbeiter insgesamt für die Datenschutzbelange zu sensibilisieren. 82 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 13 Soziales 13.1 Ärztliches Attest für Tagesmütter Wer Tagesmutter werden will, muss seine persönliche Eignung gegenüber dem Jugendamt nachweisen. Dazu gehört auch, dass die Tagesmutter gesundheitlich in der Lage ist, Kinder zu betreuen. Aus diesem Grund regelt die Saarländische Kindertagespflegeverordnung (KitaPflegV SL), dass die Pflegeerlaubnis nur erteilt werden darf, wenn die Pflegeperson ein ärztliches Attest vorlegt. Zur Vorlage verpflichtet sind auch die zum Haushalt gehörenden Familienangehörigen, wenn sie sich während der Betreuungszeiten des Kindes im Haushalt aufhalten. Die Verordnung sagt allerdings nichts zu dem erforderlichen Umfang dieses Attestes. Der Ehemann einer Tagesmutter hat meiner Dienststelle ein Formular eines Jugendamtes vorgelegt, das er von seinem Hausarzt ausfüllen lassen sollte. In diesem Formular soll der Hausarzt umfassend über den Gesundheitszustand des Betroffenen Auskunft geben. Es wird danach gefragt, welche Beeinträchtigungen im Bereich Herz-Kreislauf, des Bewegungsapparates, der Sinnesorgane oder der Psyche bestehen. Anzugeben sind derzeit behandelte bzw. durchgemachte schwere Erkrankungen, regelmäßig eingenommene Medikamente oder auch psychosomatische Störungen. Für uns hat sich die Frage gestellt, ob die Offenbarung all dieser sehr persönlichen Daten gegenüber den Mitarbeitern des Jugendamtes wirklich erforderlich ist. Der Gesetzgeber stuft Daten über gesundheitliche Verhältnisse als besondere Arten personenbezogener Daten ein, an deren rechtmäßige Verarbeitung hohe Anforderungen zu stellen sind. Wegen der Bedeutung des Themas für alle saarländischen Jugendämter haben wir in Zusammenarbeit mit Vertretern der Jugendämter folgende Lösung gefunden: Der Arzt erhält künftig ein Informationsblatt, in dem erläutert wird, welche Erkrankungen einen Ausschlussgrund für die Erteilung einer Pflegeerlaubnis darstellen. Der Arzt bescheinigt ohne Angabe einer Diagnose, ob gegen die Aufnahme eines Kindes in die Kindertagespflege Bedenken bestehen oder nicht. Falls Bedenken bestehen kann der Betroffene dem zuständigen Gesundheitsamt vorgestellt werden. Dieses entscheidet letztlich aufgrund der Informationen des behandelnden Arztes, ob eine Eignung vorliegt oder nicht. Die Offenbarung sensibler Gesundheitsdaten der antragstellenden Person sowie ihrer Familienangehörigen ist somit auf ein Mindestmaß beschränkt worden. 83 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Praxis wird zeigen, ob sich dieses Verfahren künftig bewährt. 13.2 Runder Tisch zur Vermeidung von Stromsperren Bei einem Hausbrand in Saarbrücken sind mehrere Kinder ums Leben gekommen. Brandursache war ein unachtsamer Umgang mit Kerzen, die wegen einer Stromsperre als einzige Lichtquelle verblieben sind. Dies hat dazu geführt, dass das Ministerium für Umwelt und Verbraucherschutz einen runden Tisch zur Vermeidung von Stromsperren ins Leben gerufen hat. Ziel sollte es sein, durch eine konstruktive Zusammenarbeit zwischen Versorgungsunternehmen, Sozialleitungsträgern und Sozial- und Verbraucherschutzverbänden Möglichkeiten zu finden, um Unterbrechungen der Stromversorgung in den Fällen von Zahlungsverzug und Zahlungsunfähigkeit bei einkommensschwachen Haushalten zu vermeiden. Im Laufe der Beratungen hat sich gezeigt, dass nur durch gezieltes Zusammenwirken zwischen den beteiligten Institutionen eine Verbesserung der Situation für die Betroffenen erreicht werden kann. Wir waren in diesem Zusammenhang maßgeblich an der datenschutzgerechten Gestaltung der Datenflüsse zwischen den Institutionen beteiligt. Es haben sich während der Gespräche drei Varianten herauskristallisiert, die zu einer wirksamen Vermeidung von Stromsperren führen: Sozialleistungsbezieher werden bei der Beantragung von Sozialleistungen darauf hingewiesen, dass mittels einer Abtretungserklärung eine mögliche Stromsperre verhindert werden kann, da die Stromkosten direkt zwischen Leistungsträger und Energieversorger abgerechnet werden. Sozialleistungsbezieher können darin einwilligen, dass bei Rückständen der jeweilige Energieversorger direkt vom Sozialleistungsträger kontaktiert wird, um eine Lösung der Überzahlung herbeizuführen. Energiekunden werden bevor der Strom gesperrt wird von Vertretern der Stromversorger persönlich aufgesucht und über mögliche Hilfen informiert. Auch hier besteht die Möglichkeit, mittels einer Einwilligungserklärung eine Kontaktaufnahme zwischen Energieversorger und Sozialleistungserbringer zur Vermeidung einer Stromsperre zu legitimieren. Sowohl die Stromversorger als auch die Sozialleistungsträger haben sich darüber hinaus dazu verpflichtet, jeweils eine zentrale Anlaufstelle zur Vermeidung von Stromsperren einzurichten. Des Weiteren prüfen die Energieversorger den vermehrten Einsatz von sogenannten PrepaidZählern, die im jeweiligen Haushalt den Strom gegen direkte Zahlung „freischalten“. Mangels einer gesetzlichen Datenübermittlungsbefugnis von den Sozialleistungsträgern zu den Energieversorgern im Sozialgesetzbuch (SGB) auf der einen Seite und von der Energieversorgern zu den Sozialleistungsträgern auf der anderen Seite konnten die Datenflüsse lediglich über die Einwilligung der Betroffenen legitimiert werden. So waren wir 84 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht bei der Erstellung einer Einwilligungserklärung der Betroffenen und eines Merkblattes beteiligt, das bei einer drohenden Stromsperre ausgehändigt wird. 13.3 Vorlage des Fahrzeugscheines bei Beantragung von Hartz-IV-Leistungen Ein Leistungsbezieher hatte bei seinem Weiterbewilligungsantrag angegeben, dass er ein Auto gekauft habe. Dem Antrag hatte er den Versicherungsschein beigefügt. Das Jobcenter forderte von dem Antragsteller darüber hinaus die Vorlage des Fahrzeugscheines sowie des Kaufvertrages. Der Petent fragte bei meiner Dienststelle nach, ob er zur Vorlage dieser Unterlagen verpflichtet sei. Die einschlägige Vorschrift (§ 67a Absatz 1 Satz 1 Zehntes Buch Sozialgesetzbuch – SGB X) besagt, dass das Erheben von Sozialdaten zulässig ist, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Hartz-IV-Bezieher dürfen zwar ein Auto besitzen, jedoch darf dessen Wert bestimmte Grenzen nicht überschreiten. So hat das Bundessozialgericht (Urteil vom 6. September 2007, Az.: B 14/7b AS 66/06 R) entschieden, dass ein Auto bis zu einem Wert von 7.500 € grundsätzlich angemessen sei. Es ist unter diesem Gesichtspunkt nachvollziehbar und nicht zu beanstanden, wenn das Jobcenter zur Ermittlung des maßgeblichen Wertes eines Kfz den Kaufvertrag einsehen möchte. Der Fahrzeugschein wird nach Erläuterung des Jobcenters benötigt, um zu prüfen, ob das Fahrzeug auch tatsächlich auf den Hartz-IV-Bezieher zugelassen ist. Denn nur dieser erhält bei beruflicher Nutzung einen Zuschuss zur Haftpflichtversicherung. Auch diese Begründung hat uns überzeugt. Im Ergebnis war der Petent somit zur Vorlage der angeforderten Unterlagen verpflichtet. Allerdings wäre es sinnvoll, wenn das Jobcenter künftig kurz erläutern würde, aus welchem Grund angeforderte Unterlagen benötigt werden. So könnten Irritationen von vornherein vermieden werden. 13.4 Weitergabe von Sozialdaten an Einbürgerungsbehörde Im Berichtszeitraum ist die Aufsichtsbehörde mit folgender Problematik konfrontiert worden: Das Ministerium für Inneres und Sport benötigt im Einbürgerungsverfahren u.a. Informationen über die wirtschaftlichen Verhältnisse des Bewerbers. Wenn der Betreffende Sozialleistungen z.B. vom Sozialamt, der Arbeitsagentur oder dem Jobcenter erhält, ist es wichtig zu wissen, ob er diesen Sozialleistungsbezug selbst zu vertreten hat oder ob er 85 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Ausbildungs-, Qualifikations- oder Weiterbildungsangebote angenommen und sich ausreichend um Stellen beworben, aber aufgrund der Arbeitsmarktsituation trotzdem keine Arbeit gefunden hat. Von einem Jobcenter wurde die Frage gestellt, aufgrund welcher Rechtsgrundlage die von der Einbürgerungsbehörde angeforderten Informationen eigentlich übermittelt werden dürfen. Die einschlägigen Vorschriften (§§ 67b, 67d Zehntes Buch Sozialgesetzbuch – SGB X) bestimmen, dass Sozialdaten nur übermittelt werden dürfen, wenn eine gesetzliche Übermittlungsbefugnis gemäß den Vorschriften des Sozialgesetzbuchs vorliegt oder der Betroffene eingewilligt hat. Eine Durchsicht der in Betracht kommenden Vorschriften hat ergeben, dass eine solche Rechtsgrundlage, die die Datenübermittlung legitimieren könnte, zweifelsfrei nicht vorhanden ist. Alle Beteiligten waren sich einig, dass eine zulässige Datenübermittlung somit eine ausdrückliche Einwilligung voraussetzt. Mit dem Ministerium für Inneres und Sport wurde die Formulierung einer Einwilligungserklärung abgestimmt, die nunmehr verwendet wird. Allerdings ist die Datenweitergabe aufgrund einer Einwilligung letztlich nicht befriedigend, da eine echte Freiwilligkeit aufgrund der Tatsache, dass die Einbürgerung möglicherweise von der Erteilung dieser Einwilligung abhängt, fraglich ist. Das Ministerium für Inneres und Sport hat deshalb beim Bundesministerium des Innern eine Ergänzung der Vorschriften im SGB X angeregt, um die von allen Beteiligten als notwendig angesehene Informationsweitergabe gesetzlich zweifelsfrei zu legitimieren. 13.5 Zustimmung zur Einholung von Bankauskünften Ein Sozialamt legt jedem Antragsteller auf Grundsicherung folgende Erklärung zur Unterschrift vor: „Ich ermächtige die im Antrag genannten Sparkassen, Banken und sonstigen Geldinstitute, unter Befreiung vom Bankgeheimnis und der datenschutzrechtlichen Bestimmungen, dem Sozialamt weitere Auskünfte, insbesondere über den Kontostand und die Kontobewegungen während der letzten sechs Monate zu erteilen.“ Ein Petent war der Meinung, dass er nicht verpflichtet sein könne, diese Erklärung zu unterschreiben. Ein solches Verlangen sei nur zulässig, wenn dem Sozialamt Anhaltspunkte vorlägen, dass seine Angaben über seine Vermögensverhältnisse nicht korrekt seien. Das Sozialamt habe ihm gegenüber diesbezüglich nichts vorgetragen. Nach einer datenschutzrechtlichen Prüfung sind wir zu folgendem Ergebnis gelangt: Das Sozialamt kann zwar verlangen, dass es Kenntnis von dem Guthaben bzw. Vermögensverfügungen der letzten sechs Monate erhält, allerdings besteht keine Verpflichtung, eine entsprechende Befreiung 86 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht vom Bankgeheimnis zu unterschreiben. Dem Antragsteller ist vielmehr die Möglichkeit zu geben, die relevanten Unterlagen selbst vorzulegen. Rechtsgrundlage für die Forderung des Sozialamtes ist § 60 Erstes Buch Sozialgesetzbuch (SGB I). Nach § 60 Abs. 1 Satz 1 Nr. 1 SGB I hat jeder, der Sozialleistungen beantragt oder erhält, alle Tatsachen anzugeben, die für die Leistung erheblich sind und auf Verlangen des Leistungsträgers Beweisurkunden vorzulegen. Das Verlangen nach Vorlage solcher Beweisurkunden setzt dabei nicht voraus, dass das Sozialamt einen konkreten Verdacht hat, dass die vom Antragsteller gemachten Angaben unzutreffend sind. Das hat das Bundessozialgericht für den vergleichbaren Fall der Vorlage von Kontoauszügen des Girokontos ausdrücklich so entschieden (Bundessozialgericht, Urteil vom 19.09.2008, Az.: B 14 AS 45/07 R.). Allerdings sind die Daten grundsätzlich beim Betroffenen zu erheben (§ 67 a SGB X), d.h. der Hilfesuchende hat im Rahmen der Mitwirkungspflicht die Unterlagen, z.B. Kontoauszüge oder Sparbücher, selbst zur Verfügung zu stellen. So wird vermieden, dass das Geldinstitut von seinem Sozialleistungsbezug erfährt 87 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 14 Gesundheit 14.1 Einführung des klinisch-epidemiologischen Krebsregisters im Saarland Deutschland verfügt über ein hoch entwickeltes Gesundheitssystem, das jeder Person im Falle einer Krebserkrankung umfassende Behandlungsmaßnahmen anbietet. Die Bundesregierung geht von einer steigenden Zahl an Krebsneuerkrankungen aus. Vor diesem Hintergrund wurde der Nationale Krebsplan initiiert, der die Krebsfrüherkennung, die onkologischen Versorgungsstrukturen, die Qualitätssicherung und die Patientenorientierung stärken soll. Zentrales Handlungsfeld ist die Weiterentwicklung onkologischer Versorgungsstrukturen und deren Qualität. Besondere Priorität wurde dabei dem flächendeckenden Ausbau von klinischen Krebsregistern unter einheitlichen Rahmenbedingungen beigemessen. Zu den Aufgaben der Klinischen Krebsregister gehören die möglichst vollzählige und auf den Einzelfall bezogene Erfassung der Daten über das Auftreten, die Behandlung und den Verlauf onkologischer Erkrankungen sowie die Auswertung, Rückmeldung und die Darstellung der Prozess- und Ergebnisqualität der medizinischen Leistungen. Klinische Krebsregister sollen mit diesen Funktionen eine leitliniengerechte Versorgung unterstützen, eine Beurteilung der Qualität der individuellen Krebstherapie ermöglichen und dazu beitragen, Qualitätsdefizite in der onkologischen Versorgung zu beseitigen. Dies setzt allerdings voraus, dass personenbezogene Daten über jede Krebsneuerkrankung an das klinische Krebsregister gemeldet werden müssen. Da es sich bei diesen Daten um höchstsensible Daten handelt, wurden wir gebeten, die gesetzliche Umsetzung, insbesondere mit Blick auf die Rechte der Betroffenen sowie die datenschutzgerechte Ausgestaltung der Datenflüsse zwischen den beteiligten Institutionen, zu begleiten. Am 31. Januar 2013 hat der Deutsche Bundestag das ,,Gesetz zur Weiterentwicklung der Krebsfrüherkennung und zur Qualitätssicherung durch klinische Krebsregister“ (Krebsfrüherkennungsund -registergesetz - KFRG) verabschiedet, welches am 9. April 2013 in Kraft getreten ist. Durch dieses Gesetz verpflichtet der Bund die Länder, zur Verbesserung der Qualität der onkologischen Versorgung, eine flächendeckende klinische Krebsregistrierung aufzubauen. Rechtsgrundlage für die verpflichtende Einführung eines Klinischen Krebsregisters auf Länderebene ist nunmehr die Regelung des § 65c Fünftes Buch Sozialgesetzbuch (SGB V), nach welcher es aber den Ländern vorbehalten ist, die für die Einrichtung und den Betrieb der klinischen Krebsregister notwendigen Rechtsgrundlagen einschließlich der datenschutzrechtlichen Regelungen landesrechtlich festzulegen. Die Umsetzung der Einführung des Klinischen Krebsregisters im Saarland in der Novellierung des Saarländischen Krebsregisters wurde durch unsere Dienststelle hinsichtlich datenschutzrechtlicher Aspekte intensiv begleitet. 88 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Datenschutzrechtlich bedeutsam ist vor allem die Änderung des Widerspruchsrechts der Patienten hinsichtlich der Verarbeitung ihrer Gesundheitsdaten. Nach den neuen Bestimmungen des Saarländischen Krebsregistergesetzes (SKRG) kann ein Widerspruch nur noch gegen die dauerhafte Klartextspeicherung der Identitätsdaten des Patienten eingelegt werden. Für Ärzte besteht die generelle Verpflichtung, zu jeder Tumorerkrankung die erforderlichen Informationen an das Krebsregister zu übermitteln. Widerspricht ein Patient der dauerhaften Klartextspeicherung seiner Identitätsdaten, so wird die Tatsache des Widerspruchs zusammen mit der Meldung an das Register übermittelt. Das Register speichert in diesem Fall dauerhaft nur Kontrollnummern, die eine Identifizierung des Patienten nicht mehr zulassen. Die anonymisierten Daten zu den Tumorerkrankungen bleiben jedoch zum Zweck der Qualitätssicherung erhalten. In Zusammenarbeit mit unserer Dienststelle wurde eine Patienteninformation erarbeitet. Darüber hinaus sind zahlreiche Änderungswünsche von unserer Seite in den neuen Gesetzentwurf eingeflossen. Durch die Vorreiterrolle des Saarlandes bei der Krebsregistrierung als eines der ersten Bundesländer, die die Vorgaben des § 65c SGB V im Bundesgebiet umgesetzt haben, wurde ein Mitarbeiter der Dienststelle vom Arbeitskreis Gesundheit und Soziales der Datenschutzbeauftragten des Bundes und der Länder dazu berufen, die Datenflüsse zwischen den Kostenträgern (Krankenkassen) und den Klinischen Krebsregistern für ganz Deutschland datenschutzrechtlich beratend zu begleiten. Aufgrund der frühzeitigen Beteiligung unserer Dienststelle sowie auch der vorbildlichen Zusammenarbeit zwischen dem Krebsregister des Saarlandes und unserer Dienststelle konnte die Implementierung des Klinischen Krebsregisters im Saarland in einer konstruktiven Art und Weise datenschutzkonform umgesetzt werden. 14.2 Einschulungsfragebogen Alle Kinder werden vor ihrer Einschulung von Ärzten des Gesundheitsamtes untersucht. Vor dieser Untersuchung erhalten die Eltern einen Fragebogen mit der Bitte zugesandt, diesen ausgefüllt zur Untersuchung mitzubringen. Mehrere Eltern haben sich bei unserer Dienststelle über den Inhalt dieses Fragebogens beschwert, weil er Fragen enthalte, die für die Beurteilung der Schulfähigkeit ihres Kindes aus deren Sicht unerheblich seien. Im Einzelnen werden neben den allgemeinen Angaben wie Anschrift des Kindes und der Eltern, besuchter Kindergarten und vorgesehene Schule, Daten zur Familienanamnese (welche Krankheiten treten in der Familie gehäuft auf) sowie zur Anamnese des Kindes (Angaben zur Schwangerschaft und Geburt, zur Entwicklung, zu Vorerkrankungen, Operationen, Unfällen, Medikamenteneinnahme) erfragt. Zusätzlich sollten die Eltern angeben, welchen Schulabschluss sie haben (Förderschule, Hauptschule, Mittlere Reife, Abitur/Fachabitur, kein Schulabschluss), bei welchem Elternteil das Kind überwiegend lebt, welche Staatsangehörigkeit sie haben und in welchem Land sie geboren wurden (soziodemographische Daten). 89 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Das für die Formulierung des Fragebogens zuständige Ministerium für Soziales, Gesundheit, Frauen und Familie hat uns davon überzeugt, dass die Fragen zur Familienanamnese sowie zur Anamnese des Kindes erforderlich seien, um einerseits die Schultauglichkeit zu beurteilen, andererseits aber auch, um den Gesundheitszustand des Kindes im Hinblick auf eventuelle Fördermöglichkeiten festzustellen. Die maßgebliche Vorschrift (§ 2 Schulpflichtgesetz) lautet wie folgt: „…Zur Vorbereitung der Aufnahme in die Schule sind diese Kinder ab dem 1. Januar des dem Beginn der Schulpflicht vorhergehenden Kalenderjahres zur Feststellung des Gesundheits- und Entwicklungsstandes durch eine Schul- oder Amtsärztin oder einen Schul- oder Amtsarzt zu untersuchen; insoweit wird das Recht der körperlichen Unversehrtheit (Artikel 2 Absatz 2 Satz 1 des Grundgesetzes) eingeschränkt. Soweit erforderlich, werden bei dieser Untersuchung auch fördernde Maßnahmen empfohlen.“ Auch die soziodemographischen Daten dürfen grundsätzlich erhoben werden. Allerdings haben diese Daten eine gänzlich andere Zweckbestimmung, nämlich den der Gesundheitsberichterstattung (§ 6 Gesundheitsdienstegesetz (ÖGDG)). Dies muss den Eltern deutlich gemacht werden, damit sie in Kenntnis dieses Zwecks frei entscheiden können, ob sie ihre Daten auch zu diesem Zweck angeben wollen. Es war deshalb notwendig, den Fragebogen neu zu gestalten. Es gibt nunmehr zwei getrennte Fragebögen: Der erste Fragebogen enthält die Daten zur Familienanamnese und zur Anamnese des Kindes; auf dem zweiten Fragebogen werden die soziodemographischen Daten abgefragt. Auch die Information über die weitere Verarbeitung der Daten aus den Fragebögen fällt unterschiedlich aus. Während die Gesundheitsfragen zu Angehörigen und Kind personenbezogen gespeichert werden, werden die soziodemographischen Daten schnellstmöglich anonymisiert. Die Überarbeitung erfolgte in enger Abstimmung zwischen unserer Dienststelle und dem Ministerium für Soziales, Gesundheit, Frauen und Familie, dem eine äußerst konstruktive Zusammenarbeit bescheinigt werden kann. 14.3 Transport von Krankenakten in offenen Behältern Im Kalenderjahr 2013 wurde die Aufsichtsbehörde durch eine Eingabe auf potentielle Missstände beim Transport von Krankenakten von einem Gesundheitszentrum zu dessen externem Schreibservice aufmerksam gemacht. In diesem Zusammenhang bestand auch aufgrund einer beigefügten Fotodokumentation – darauf waren Akten, die gut sichtbar im Fußraum bzw. im geöffneten Kofferraum eines KFZ lagen, abgelichtet – der Verdacht eines Verstoßes gegen die Anforderungen des § 9 Bundesdatenschutzgesetz (BDSG) i. V. m. Punkt 4 der Anlage zu § 9 S. 1 BDSG. Danach sind Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten während ihres Transportes nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Bei den transpor- 90 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht tierten Krankenakten handelte es sich darüber hinaus um besondere personenbezogene Daten i. S. d. § 3 Abs. 9 BDSG, weshalb grundsätzlich besondere Sorgfaltspflichten zu beachten gewesen wären. Des Weiteren ist festzuhalten, dass im geschilderten Sachverhalt die Verarbeitung personenbezogener Daten im Auftrag durch eine andere Stelle erfolgte, weshalb zwischen Gesundheitszentrum als verantwortlicher Stelle i. S. d. § 3 Abs. 7 BDSG und externem Schreibservice als Auftragnehmer ein Auftragsdatenverarbeitungsvertrag i. S. d. § 11 BDSG zu schließen gewesen wäre. Darin sind gemäß § 11 Abs. 2 S. 1 BDSG insbesondere im Einzelnen festzulegen: 1. der Gegenstand und die Dauer des Auftrags 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Das Gesundheitszentrum wurde von der Aufsichtsbehörde zur Stellungnahme zu dem im Raum stehenden Verdacht eines datenschutzrechtlichen Verstoßes aufgefordert. Insbesondere wurde um Vorlage eines Auftragsdatenverarbeitungsvertrags bzw. entsprechender schriftlicher Vereinbarungen zwischen den Beteiligten und um Auskunft über die notwendigerweise zu treffenden technischen und organisatorischen Maßnahmen, z. B. beim Versand der Unterlagen (auch in elektronischer Form), gebeten. Das Gesundheitszentrum teilte mit, dass es sich bei den fotografierten Akten um private Unterlagen der Mitarbeiterin des Schreibservices gehandelt habe, die diese mit sich geführt habe. Weiterhin wurde mitgeteilt, dass der Transport der Krankenakten grundsätzlich in verschlosse- 91 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht nen Kisten erfolge und es nie Probleme bei der Zusammenarbeit mit dem Unternehmen gegeben habe. Auch wurde darauf hingewiesen, dass der Vertrag mit dem Schreibservice aufgrund der Umstellung des Krankenhausinformationssystems (KIS) zum Jahresende auslaufe, da die Schreibarbeiten künftig hausintern erstellt werden. Auf die einzelnen Fragen der Aufsichtsbehörde wurde nicht weiter eingegangen, v.a. konnte kein Auftragsdatenverarbeitungsvertrag vorgelegt werden. Auf erneute Nachfrage durch die Aufsichtsbehörde teilte das Gesundheitszentrum mit, dass die Zusammenarbeit mit dem Schreibservice nunmehr vorzeitig beendet worden sei. Abschließend ist festzuhalten, dass bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag gemäß § 11 BDSG der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich ist („Verantwortliche Stelle“). Dem Auftraggeber obliegt darüber hinaus die Pflicht, den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Ob eine solche Prüfung im vorliegenden Fall erfolgt ist, konnte nicht nachgewiesen werden. 92 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 15 Schule und Bildung 15.1 1. Saarländischer Medientag "Neue Chancen für neues Lernen!?" Am 18. September 2013 fand der 1. Saarländische Medientag in den Räumlichkeiten der Hermann Neuberger Sportschule in Saarbrücken statt. Organisiert wurde die Veranstaltung von den Mitgliedern der AG Medienkompetenz, die sich zum Ziel gesetzt haben, einerseits über neue Entwicklungen im Medienbereich zu informieren, andererseits aber auch über Chancen und Risiken der neuen Medien aufzuklären. Neben dem Unabhängigen Datenschutzzentrum Saarland sind folgende Institutionen ständig in der AG Medienkompetenz organisiert: Die Landesmedienanstalt Saarland, das Ministerium für Bildung und Kultur, das Landesinstitut für Präventives Handeln, das Landesinstitut für Pädagogik und Medien, der Jugendserver-Saar, das Landespolizeipräsidium und die Europäische EDV-Akademie des Rechts. Die Veranstaltung richtete sich vorrangig an Lehrkräfte und pädagogische Fachkräfte. Sie wurde als offizielle Lehrerfortbildung sowohl im Saarland als auch in Rheinland-Pfalz anerkannt und so haben sich ca. 120 Personen zum Medientag angemeldet. Prof. Dr. Stefan Aufenanger, Professor für Erziehungswissenschaft und Medienpädagogik an der Universität Mainz, eröffnete den Medientag mit dem Vortrag „Tablets in der Schule - Neue Chancen für neues Lernen!?“ und berichtete von Möglichkeiten und Trends beim Einsatz von Tablets im Unterricht. Den Teilnehmerinnen und Teilnehmern wurde durch die Veranstaltung das breite Angebot präsentiert, das die Mitglieder der AG Medienkompetenz für Schulen bereithalten. In praxisorientierten Workshops wurde der Einsatz digitaler Medien im Unterricht demonstriert und diskutiert. Im Fokus der Tagung standen die Chancen, die mit digitalen Medien - insbesondere mit Tablets und Smartphones für Lehr- und Lernzwecke verbunden sind. Hierfür waren unter anderem namhafte Projekte wie Klicksafe, der Verein Internet-ABC sowie der SWR mit seinem Projekt „Planet Schule“ vor Ort und präsentierten ihre Unterrichtsmaterialien. Aufgrund der großen Resonanz der Veranstaltung wird im Herbst des Jahres 2015 der 2. Saarländische Medientag stattfinden. 15.2 Schulworkshops „Mit Datenschützern lernen“ Die fortschreitende Digitalisierung unserer Welt und die zunehmenden Nutzung von Web 2.0 Angeboten wie Facebook, google+ oder Dienste wie WhatsApp und Instagram sind auch im schulischen Bereich eine große Herausforderung. Wir haben daher mit dem Schuljahr 2013/2014 basierend auf einem Konzept von Rheinland–Pfalz erstmals auch im Saarland Workshops an Schulen angeboten. Ein Pilotprojekt startete im Herbst 2013 in der Klas- 93 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht senstufe sechs der weiterführenden Schulen im Landkreis MerzigWadern. Zwischenzeitlich werden die Workshops saarlandweit angeboten. Die Referentinnen und Referenten werden von uns ausgebildet, regelmäßig zu Meetings eingeladen und haben die Möglichkeit, sich in Foren untereinander und mit den Referenten in Rheinland-Pfalz auszutauschen. In der Einführungsphase müssen sie mindestens zweimal an einem Workshop als Zuhörer teilnehmen. Selbstverständlich gibt es auch regelmäßige Ansprechpartner in unserer Dienststelle, die auch in unregelmäßigen Abständen die Workshops besuchen. Nach jedem Workshop erfolgt durch die Lehrer eine Rückmeldung an die Dienststelle – die sowohl den Ablauf als auch den Inhalt beschreibt, so dass bei Bedarf auch eine regelmäßige Steuerung möglich ist. Die Schülerinnen und Schüler sollen für einen datenschutzgerechten Umgang mit ihren Daten im Internet sensibilisiert werden. In einem vier Unterrichtsstunden umfassenden Workshop werden standardmäßig Themen wie der datenschutzgerechte Umgang mit Smartphones, Sozialen Netzwerken und Apps genauso vermittelt wie Online-Ethik, Cybermobbing und Selbstdatenschutz. Die Bedeutung und der Verlust der Privatsphäre werden ebenso thematisiert wie aktuelle datenschutzrechtliche Themen. Das pädagogische Konzept, das vom Bildungsministerium genehmigt wurde, skizziert den Ablauf der Unterrichtseinheit und vereint sowohl Theorie als auch praktische Erarbeitung am Computer. Darüber hinaus werden die Unterrichtsmethoden dargestellt, die eine möglichst optimale Sensibilisierung der Schüler gewährleisten sollen. Die Unterrichtseinheiten sind in der Regel so gestaltet, dass zunächst eine theoretische sowie praktische Einführung dazu erfolgt, welche Spuren jeder im Netz hinterlässt, und anschließend eine gemeinsame Begründung für den Selbstdatenschutz auf der Grundlage von Kurzfilmen und Web-Clips gefunden wird. Die Schüler lernen neben der einfachen Installation eines sicheren Passwortes auch die Möglichkeiten, persönliche Daten mit Hilfe von Sicherheitseinstellungen technisch zu sichern. Aufgrund der Dynamik in dieser Materie müssen unsere Referenten/innen aber auch auf aktuelle Trends bei den Jugendlichen eingehen. Dies war im Winter 2014 etwa das Portal YouNow. Dieses Programm können Schüler/innen leicht auf ihr Handy laden, sich dann mit der Web-Cam filmen und dies live ins Internet stellen. Es funktioniert etwa wie YouTube – ist aber noch einfacher zu bedienen. Da die Missbrauchsgefahr allerdings noch deutlich höher ist, ist gerade hier eine besondere Sensibilisierung notwendig. Zur Vor- und Nachbereitung der Workshops wird den Lehrkräften und Kindern der Internetauftritt www.youngdata.de empfohlen. Youngdata ist eine Webseite, welche als offizielle Jugendseite aller Datenschutzaufsichtsbehörden in Deutschland betrieben wird. Alle Themen, die im Workshop angesprochen werden, sind auch unter www.youngdata.de zu finden. 94 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Bis zum Zeitpunkt der Drucklegung haben wir in etwa 135 Workshops ca. 3.400 Schülerinnen und Schüler erreicht und auf den datenschutzgerechten Umgang mit ihren Daten im Internet sensibilisieren können. Natürlich kann eine Unterrichtseinheit von vier Stunden nur Grundlagen über den Datenschutz vermitteln und die Schüler für einen sorgsamen Umgang mit ihren Daten sensibilisieren. Die Datenschutzbeauftragten setzen sich daher bundesweit dafür ein, dass dieses Thema sowohl in den Schulunterricht integriert wird - sei es als eigenes Fach oder fächerübergreifend - aber auch in den Ausbildungsplan für Lehrer. Insgesamt stellt dieses umfangreiche Projekt zwar eine große Herausforderung für unsere Dienststelle dar, wir sehen es aber als einen ganz wichtigen Baustein dafür, jungen Menschen Datenschutz und Medienkompetenz nahe zu bringen. 95 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 16 Forschung 16.1 Vigilanz-Test bei Verdacht auf Drogenkonsum Im Berichtszeitraum hat uns das Landesinstitut für Präventives Handeln ein Forschungsprojekt vorgestellt und um eine datenschutzrechtliche Einschätzung gebeten. Das Forschungsprojekt befasst sich mit dem Nachweis der Beeinträchtigung im Straßenverkehr in Folge des Konsums psychoaktiver Substanzen (z. B. Cannabisprodukte, Amphetamin oder Medikamente). Im Unterschied zu Alkohol ist es schwierig, Personen, die solche Substanzen zu sich genommen haben, zu erkennen. Bisher ist man bei der Verdachtsgewinnung auf die Beobachtung der betreffenden Person angewiesen, z. B. durch Polizeibeamte bei einer Verkehrskontrolle. Es liegt auf der Hand, dass dies immer nur ein subjektiver Eindruck ist. Um die Verdachtsgewinnung auf eine objektive Grundlage zu stellen, möchte das Landesinstitut für Präventives Handeln prüfen, ob ein an der Eidgenössischen Hochschule Zürich entwickelter Vigilanz-Test in diesem Zusammenhang hilfreich sein könnte. Der Test orientiert sich nicht an dem Stoffnachweis, sondern an dem Grad der Beeinflussung der Wachheit bzw. Aufmerksamkeit (Einschränkung der Vigilanz). Bei diesem Test werden an einem PC über einen Zeitraum von vier Minuten mithilfe eines bestimmten Verfahrens Reaktionszeiten und Aufmerksamkeitsfehler gemessen. Dieser Test soll bei Personen durchgeführt werden, die bei einer herkömmlichen Verkehrskontrolle nach Einschätzung des Polizeibeamten Auffälligkeiten zeigen und sich einer Blutprobe bzw. einer Speichelprobe unterziehen müssen. Anonymisierte Zusatzdaten sollen mit Hilfe eines Formularbogens bei den jeweiligen Probanden erhoben werden. Der den Vigilanztest durchführende Polizeibeamte dokumentiert nach Entnahme der Blutprobe mit Hilfe eines Beurteilungsbogens die Ausfallerscheinungen vor Durchführung des Tests. Das Ergebnis der mit einer Kennziffer versehenen Blutprobe bzw. Speichelprobe wird dem Projektleiter zugeleitet zum Vergleich mit dem mit der gleichen Kennziffer versehenen Vigilanz-Testergebnis. Nach Zuordnung der Ergebnisse des Tests zu den Probenergebnissen wird der Datensatz anonymisiert und die nicht anonymen Daten werden vernichtet. Die Aussagekraft des Tests soll durch einen Vergleich der Testergebnisse der durch die genannten Substanzen beeinflussten Personen mit Testergebnissen aus einer zweiten Testreihe, in der freiwillige Probanden (z.B. Fahrschüler) sich ebenfalls dem Vigilanztest und einer Speichelprobe unterziehen, überprüft werden. Einigkeit bestand von vorneherein, dass die Teilnahme an dem Test freiwillig ist, weil eine entsprechende gesetzliche Verpflichtung nicht besteht. Darüber hinaus sollte der Test zwar im Zusammenhang mit einer Verkehrskontrolle, jedoch deutlich von dieser getrennt durchgeführt werden. Dies bedeutet, dass die im Zusammenhang mit einer Ver- 96 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht kehrskontrolle durchgeführten Tests zwar durch Polizeibeamte vorgenommen werden, jedoch der mit der Vigilanztestdurchführung betraute, in zivil gekleidete Beamte nicht mit der Sachbearbeitung im Zusammenhang mit der Blutentnahme befasst ist. Darüber hinaus soll der Test zeitlich nach der Blutentnahme sowie räumlich getrennt von dieser Maßnahme erfolgen. Die erforderliche schriftliche Einwilligungserklärung muss besonders sorgfältig formuliert werden, um den Probanden, die den Test im Zusammenhang mit der polizeilichen Blutentnahme absolvieren, deutlich zu machen, dass der Test kein verpflichtender Bestandteil der polizeilichen Ermittlung ist, sondern rein wissenschaftlichen Zwecken dient. In Abstimmung mit unserer Dienststelle wurde eine Einwilligungserklärung erarbeitet, die diesen Anforderungen genügt: Der Zweck und der Umfang des Forschungsvorhabens werden ausführlich erläutert und die verantwortlichen Träger und Leiter des Projekts werden genau benannt. Es wird ausdrücklich darauf hingewiesen, dass bei einer Nichtteilnahme keinerlei Nachteile entstehen und bis zur Anonymisierung der Daten die Einwilligung jederzeit widerrufen werden kann. Ergebnisse dieses Projekts sollen im Oktober 2015 präsentiert werden. 97 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 17 Beschäftigtendatenschutz 17.1 Beschäftigtendatenschutz im öffentlichen Bereich 17.1.1 Auskunftssperren für besonders gefährdete Beamtengruppen Im Berichtszeitraum sind Gewerkschaftsvertreter auf uns zugekommen und haben auf Übergriffe auf Beschäftigte des öffentlichen Dienstes und deren Angehörige am Wohnort der Beschäftigten hingewiesen. Durch Namensschilder auf der Uniform oder am Büro der Beamten könne durch gezielte Recherche im Internet und eine sogenannte einfache Melderegisterauskunft bei einer Kommune leicht eine Verknüpfung zur Wohnadresse der Beschäftigten hergestellt werden. Nach Angabe der Gewerkschaftsvertreter seien meist Beschäftigte des öffentlichen Dienstes von Übergriffen am Wohnort betroffen, die im Vollzugs- oder Ordnungsdienst tätig sind. Manche Bürger würden sich persönlich bei jemandem rächen wollen, der ihnen beispielsweise einen Strafzettel fürs Falschparken erteilt hat. Sobald der Name der Beamten bekannt sei, recherchieren sie auch mittels einer einfachen Melderegisterauskunft die Wohnadresse und bedrohen die Beschäftigten oder ihre Familienangehörigen. Eine einfache Auskunft über Vor- und Familiennamen, Doktorgrad und Anschriften einzelner bestimmter Personen können gemäß § 34 Abs.1 Saarländisches Meldegesetz (MG) neben bestimmten öffentlichen Stellen auch private Antragsteller erhalten. Die einfache Melderegisterauskunft wird von Datenschützern kritisiert, weil die Auskunftserteilung nur geringen Einschränkungen unterliegt und der Meldepflichtige von wenigen gesetzlichen Ausnahmefällen abgesehen die Weitergabe seiner melderechtlichen Basisdaten an jedermann nicht verhindern kann. Eine Ausnahme wird in § 34 Abs.1 MG benannt: „Liegen Tatsachen vor, die die Annahme rechtfertigen, dass dem Betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann, hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn, dass nach Anhörung des Betroffenen eine Gefahr im Sinne des Satzes 1 ausgeschlossen werden kann.“ Genau diese gesetzlich vorgesehene Ausnahmemöglichkeit wurde aber von den Kommunen in der Vergangenheit bei Beamten, die einen solchen Antrag gestellt haben, abgelehnt, weil sie die Gefahr für Leben, Gesundheit oder persönliche Freiheit nicht erkannt haben. Hier sollte auch von Seiten der Kommune auf einen offeneren Umgang mit solchen Antragsersuchen hingewirkt werden. Die Kommentarliteratur führt hierzu aus, dass der Begriff der schutzwürdigen Interessen weit auszulegen und eine Gefahr mit dem Begriff der Beeinträchtigung identisch zu verwenden sei. 98 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Eine Auskunftssperre kann jedoch nur dann ihre Wirkung entfalten, wenn die gleichen personenbezogenen Daten nicht via Internet frei recherchierbar sind. 17.1.2 Weitergabe von Verwandtschaftsverhältnissen an die Presse In einer saarländischen Stadt wurden die verwandtschaftlichen Beziehungen sämtlicher Mitarbeiter zueinander festgestellt, in einer Liste zusammengefasst und an die Presse weitergegeben. Hintergrund war, dass eine Oppositionspartei öffentlich den Vorwurf erhoben hatte, dass in der Stadtverwaltung Entscheidungsträger dafür sorgten, dass ihre Verwandten bei Einstellungen bevorzugt berücksichtigt und bei Beförderungen oder Höhergruppierungen besser abschnitten als andere Mitarbeiter. Die Presse berichtete darüber und stellte der Verwaltungsspitze die Frage, ob es verwandtschaftliche Beziehungen zwischen Entscheidungsträgern der Verwaltung und Mitarbeitern gebe. Daraufhin wurde die erwähnte Liste zusammengestellt; allerdings verzichtete die Presse aus datenschutzrechtlichen Gründen auf deren Veröffentlichung. Durch eine anonyme Eingabe hatten wir von dem Sachverhalt Kenntnis erhalten. Unsere rechtliche Überprüfung ergab, dass schon die Erhebung und somit erst recht die nachfolgende Übermittlung der verwandtschaftlichen Beziehungen mangels entsprechender Erforderlichkeit mit der einschlägigen Vorschrift im saarländischen Datenschutzgesetz über die Verarbeitung von Mitarbeiterdaten (§ 31 Saarländisches Datenschutzgesetz (SDSG)) nicht in Einklang stand. Die Stadtverwaltung räumte auf unsere Bitte um Stellungnahme den Verstoß ein und sagte für die Zukunft zu, den Anforderungen des Datenschutzes zu genügen. Im Hinblick darauf wurde von einer Beanstandung abgesehen. 17.2 Beschäftigtendatenschutz im nicht-öffentlichen Bereich 17.2.1 Arbeitnehmerüberwachung in einem Gastronomiebetrieb Ein Mitarbeiter eines Gastronomiebetriebes hatte sich an die Dienststelle gewandt und behauptet, die Mitarbeiter in der Küche würden videografiert und permanent durch ihren Vorgesetzten überwacht. Die Kontrolle vor Ort ergab, dass die eingesetzte Dome-Kamera tatsächlich den nicht-öffentlich zugänglichen Arbeitsbereich der Mitarbeiter überwachte. Der Zugriff zur Kamera erfolgte über einen passwortgeschützten Remotezugang, der jederzeit vom Arbeitgeber abgerufen werden konnte. Der Vorgesetzte wurde im Gespräch ausführlich über die Voraussetzungen einer zulässigen Videoüberwachungsmaßnahme, die den Anforderungen des BDSG entspricht und die dazu ergangene Rechtsprechung 99 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht des Bundesarbeitsgerichts informiert. Demnach dürfen Beschäftigte, außer in speziellen Einzelfällen, nicht permanent von einer Videoüberwachung erfasst werden. Da der Fokus der Kamera auf der Überwachung der Leistung und des Verhaltens der Mitarbeiter lag, die somit einem permanenten Überwachungsdruck durch ihren Arbeitgeber ausgesetzt waren, wurde die Kameraeinstellung für unzulässig erklärt. Der Verantwortliche zeigte sich zunächst einsichtig und übermittelte uns eine Mail, in der er bestätigte, die Videokamera vom Netz genommen und keine Zugriffsmöglichkeiten mehr zu haben. In einer Nachkontrolle mussten wir leider feststellen, dass die Kamera nach wie vor einsatzbereit und angeschlossen für Zugriffe zur Verfügung stand. Das hierzu ergangene Ordnungswidrigkeitsverfahren wird unter Kapitel 18.2 des Tätigkeitsberichts beschrieben. 17.2.2 Telefonische Kontaktaufnahme zu ausgeschiedenen Mitarbeitern Ein Petent, der sein Arbeitsverhältnis gekündigt hatte, beschwerte sich bei unserer Dienststelle über seinen ehemaligen Arbeitgeber. Dieser hatte ein Callcenter damit beauftragt, Mitarbeiter, die ihr Arbeitsverhältnis gekündigt hatten, nach den Gründen zu befragen und dem Callcenter zu diesem Zweck Namen und Telefonnummern der betreffenden Personen übergeben. Ziel der Befragungsaktion sollte nach Aussage des Unternehmens sein, Ansatzpunkte für Verbesserungen im Unternehmen zu ermitteln. Wir haben die beschriebene Datennutzung als Verstoß gegen § 32 Bundesdatenschutzgesetz (BDSG), der die Voraussetzungen einer zulässigen Datenverarbeitung von Beschäftigten regelt, bewertet. Eine Interessenabwägung zwischen dem Interesse des Unternehmens an einer Verbesserung der Arbeitsbedingungen mit den schutzwürdigen Belangen der ausgeschiedenen Mitarbeiter lässt die Maßnahme als unverhältnismäßig erscheinen. Das Unternehmen hat dies auf unsere Nachfrage hin auch eingeräumt und als Alternative vorgeschlagen, künftig auf die Einschaltung eines Callcenters zu verzichten. Da das Unternehmen die Aktion sofort eingestellt hat, haben wir auf die Einleitung eines Bußgeldverfahrens verzichtet. 100 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 18 Ordnungswidrigkeitsverfahren 18.1 Übersicht Die Landesbeauftragte für Datenschutz ist zuständig für die Verfolgung und Ahndung von Ordnungswidrigkeiten nach § 28a Saarländisches Datenschutzgesetz (SDSG). Im Berichtszeitraum sind durch die Behörde 29 Ordnungswidrigkeitenverfahren abgeschlossen worden. Es handelte sich hierbei zu einem großen Teil um Verfahren zur Ahndung von Verstößen nach § 43 Abs. 1 Nr. 10 Bundesdatenschutzgesetz (BDSG). Danach handelt ordnungswidrig, wer vorsätzlich oder fahrlässig entgegen § 38 Abs. 3 S. 1 oder Abs. 4 S. 1 BDSG eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet. § 38 Abs. 3 S. 1 BDSG verpflichtet die datenverarbeitenden Stellen sowie die mit deren Leitung beauftragte Person, der Landesbeauftragten für Datenschutz auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Gesetzgeber möchte mit der Regelung § 38 Abs. 3 und Abs. 4 BDSG eine effektive Datenschutzaufsicht erreichen, in dem die verantwortlichen Stellen zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet werden. In der Praxis der Aufsichtstätigkeit kommt es jedoch vermehrt vor, dass unsere Schreiben verzögert, erst nach wiederholtem Nachfragen beantwortet oder gar ignoriert werden. Die unverzügliche Erfüllung der Auskunftspflicht ist jedoch zwingende Voraussetzung dafür, dass das Unabhängige Datenschutzzentrum Saarland bzw. die Landesbeauftragte für Datenschutz ihre Aufgabe als Aufsichtsbehörde nach § 38 Abs. 1 BDSG effektiv wahrnehmen kann. Daher leiten wir in den genannten Fällen bereits aus generalpräventiven Gesichtspunkten ein Ordnungswidrigkeitenverfahren ein. Bemerkenswert ist, dass nach Kenntnis der Einleitung entsprechender Verfahren die geforderten Auskünfte in der Regel zeitnah nachgeholt werden. Im Folgenden werden exemplarisch vier Verfahren dargestellt, die von unserer Behörde mit Erlass eines Bußgeldbescheides abgeschlossen wurden: 18.2 Videoüberwachung beim Pizza-Lieferdienst Auf Grund einer anonymen Eingabe wurde die Aufsichtsbehörde im April 2013 darauf aufmerksam gemacht, dass in einer Filiale eines PizzaLieferdienstes mittels Videotechnik eine Überwachung der Mitarbeiter stattfinden soll. Im Rahmen des daraufhin auf der Grundlage des § 38 Abs. 1 BDSG eingeleiteten Verwaltungsverfahrens fand ein Vor-OrtTermin in der Filiale statt. Bei diesem Termin wurde festgestellt, dass mittels einer 360-Grad-Netzwerkkamera die Mitarbeiter der Filiale überwacht wurden. Wegen der von Seiten des Unabhängigen Datenschutzzentrums geäußerten Bedenken im Hinblick auf einen datenschutzkonformen Betrieb der beschriebenen Kamera, teilte der Inhaber der Filiale im weiteren Fortgang des Verfahrens mit, dass die Kamera 101 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht vom Netzwerk entfernt wurde und somit keine Möglichkeit mehr bestehe auf die Kamera zuzugreifen. Daraufhin wurde seitens der Aufsichtsbehörde davon abgesehen weitere Maßnahmen zu treffen. Auf Grund eines erneuten Hinweises, dass die Kamera wohl weiterhin betriebsbereit wäre und auch genutzt würde, fand im Frühjahr 2014 eine unangekündigte Prüfung in den Filialräumen statt. Dabei wurde festgestellt, dass die genannte Kamera immer noch an der im April 2013 festgestellten Stelle hing und entgegen den Angaben des Inhabers weiterhin mit dem Netzwerk verbunden war und hierüber auch mit Strom versorgt wurde und damit betriebsbereit war. Da der Filialinhaber im geschilderten Fall bewusst wahrheitswidrig falsche Angaben gemacht hat, haben wir ein Bußgeld festgesetzt. 18.3 Darlehensabfrage über den Mieter Immer wieder erhält die Aufsichtsbehörde Eingaben in denen vorgetragen wird, dass der Arbeitgeber, Geschäftspartner oder andere (potentielle) Vertragspartner unberechtigterweise Bonitätsauskünfte eingeholt haben sollen. Eine nicht alltägliche Variante wurde uns allerdings von einem Mieter zur Anzeige gebracht. Mieter und Vermieter befanden sich im Streit über die Zahlung fälligen Mietzinses. Der Vermieter war Inhaber eines zu einem Konzern gehörenden Autohauses. Da der Mieter von Beginn an keine Mietzahlungen leistete, kam beim Vermieter der Verdacht auf, dass der Mieter sich den Mietzins für das Wohnhaus von Anfang an nicht habe leisten können. Um dies für eine Strafanzeige wegen Eingehungsbetrugs nachweisen zu können, stellte der Vermieter eigene Ermittlungen an. Da der Mieter selbst ein Fahrzeug einer zum Konzern gehörenden Marke besaß, konnte der Vermieter durch die Abfrage der Fahrgestellnummer – diese war am Fahrzeug von außen ablesbar – ermitteln, dass es sich hierbei um ein Fahrzeug handelte, dass über eine dem Konzern angehörige Bank finanziert wurde. Da der Vermieter wusste, dass bei einer Finanzierung von Fahrzeugen über die zum Konzern gehörige Bank der Darlehensnehmer Angaben zur Höhe seiner monatlichen Einkünfte machen muss, rief er in seiner Eigenschaft als Geschäftsführer des Autohauses bei der Betriebskundenhotline der Bank an und bat unter Angabe seiner Betriebsnummer um Übersendung einer Kopie des Darlehensvertrages. Der Darlehensvertrag enthielt eine Klausel, die die Bank dazu berechtigte, den Darlehensvertrag zum Zwecke der Abwicklung von Kundenanfragen im Einzelfall an die zum Konzern gehörenden Autohäuser zu übermitteln. Der Vermieter unterließ jedoch den Hinweis darauf, dass der angeforderte Darlehensvertrag nicht zur Abwicklung von Serviceleistungen gegenüber dem Darlehensnehmer angefordert wurde. Im Übrigen war der Mieter kein Kunde beim Autohaus des Vermieters, die Anforderung des Darlehensvertrages erfolgte allein aufgrund privater Motivation. Wir werteten diesen Sachverhalt als Erschleichen der Übermittlung personenbezogener Daten durch unrichtige Angaben gemäß § 43 Abs. 2 102 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Nr. 4 BDSG. Insbesondere das Tatbestandsmerkmal der „unrichtigen Angaben“ wurde aus unserer Sicht hier dadurch erfüllt, dass der Vermieter konkludent eine bestimmte Fehlvorstellung bei dem Sachbearbeiter der Betriebskundenhotline hervorrief und aufrechterhielt. Indem er sich als Geschäftsführer des Autohauses und damit als Handelspartner der Bank vorstellte, erweckte er konkludent den Eindruck, dass der Anruf betrieblich veranlasst sei und er die begehrten Informationen für geschäftliche Zwecke benötige. Dies wurde noch dadurch verstärkt, dass er sich den Darlehensvertrag an seine Firmenanschrift faxen ließ. Beim Mitarbeiter der Bank führte dies zu einem Irrtum über das Vorliegen eines die Übermittlung rechtfertigenden, berechtigten Interesses, denn hätte er die wahre Motivation des Handelspartners und Vermieters gekannt, so hätte er eine Übersendung des Darlehensvertrages gerade nicht veranlassen dürfen. 18.4 Bürgerbeschwerde im kommunalen Amtsblatt veröffentlicht Wenn Bürger mit der Gemeindeverwaltung korrespondieren erwarten sie zu Recht, dass ihr Anliegen vertraulich behandelt und die geführte Kommunikation nicht veröffentlicht wird. Anders war dies im Fall einer saarländischen Kommune. Ein Bürger hatte sich per E-Mail über die Wasserqualität in einem kommunalen Schwimmbad beschwert. In einer Antwortmail, die der Bürgermeister persönlich zeichnete, wurde sein Anliegen unter Verweis auf durchgeführte Wasserproben zurückgewiesen und in einem Postskriptum wurde der Bürger gebeten: „Beirren Sie uns nie wieder“. Mit dieser Antwortmail wandte sich der Bürger an den Saarländischen Rundfunk. Dieser machte in einem Hörfunk-Beitrag die Wasserqualität des kommunalen Schwimmbades zum Inhalt der öffentlichen Berichterstattung und nahm den Inhalt des in der Antwortmail verwendeten Postskriptums zum Anlass um über den Umgangston des Bürgermeisters gegenüber seinen Bürgern zu diskutieren. In dem Beitrag kam auch der Bürger zu Wort, der jedoch ausdrücklich anonym bleiben wollte. Als Reaktion auf die Berichterstattung nahm der Bürgermeister zu den Vorwürfen Stellung, indem er im amtlichen Teil des gemeindlichen Nachrichtenblattes eine kurze Stellungnahme veröffentlichte und darunter die E-Mail des Bürgers, der sich beschwert hatte, im Volltext und unter Namensnennung veröffentlichte. Wir werteten dies als unbefugte Weitergabe von durch das Saarländische Datenschutzgesetz (SDSG) geschützten personenbezogenen Daten, die nicht offenkundig sind, entsprechend § 36 Abs. 1 Nummer 1 SDSG. In diesem Fall wurde von uns ein Bußgeld festgesetzt. 18.5 Eigene Ermittlungen des Amtsleiters Ein weiteres Verfahren richtete sich gegen den Leiter einer saarländischen Bauaufsichtsbehörde. Diesem war aufgefallen, dass bei einer 103 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Vielzahl von Bauanträgen für Vergnügungsstätten wiederholt dieselbe Person als Verfasser des Bauplans genannt wurde. Aufgrund eigener Ermittlungen fand der Amtsleiter heraus, dass der besagte Planverfasser hauptberuflich als Beamter in der saarländischen Landesverwaltung tätig war. Da er Zweifel daran hatte, ob der Planverfasser diese Nebentätigkeit, insbesondere im hier festgestellten Umfang habe genehmigen lassen, stellte er eine Liste mit allen Bauanträgen der vergangenen zehn Jahre zusammen, in denen diese Person als Planverfasser genannt wurde. Diese Liste übersandte er mit der Bitte um vertrauliche Behandlung per E-Mail an den Dienstvorgesetzten des Beamten. Der Dienstvorgesetzte leitete aufgrund dieser Erkenntnisse ein Disziplinarverfahren gegen den Beamten ein. Nach unserer Auffassung war hier der Tatbestand des § 36 Abs. 1 Nr. 1 SDSG, nämlich die unbefugte Weitergabe vom saarländischen Datenschutzgesetz geschützter personenbezogener Daten, die nicht offenkundig sind, verletzt. Eine Rechtfertigung der Weitergabe wäre hier lediglich nach § 29 Abs. 1 Saarländisches Disziplinargesetz (SDG) in Betracht gekommen, dessen Voraussetzungen hier aber nicht vorlagen. § 29 Abs. 1 SDG verlangt nämlich, dass die Vorlage von Personalakten und anderen Behördenunterlagen mit personenbezogenen Daten sowie die Erteilung von Auskünften aus diesen Akten und Unterlagen nur auf Ersuchen der mit dem Disziplinarvorgang befassten Stelle erfolgen darf. Eine Mitteilung personenbezogener Daten ohne Anregung durch die mit dem Disziplinarvorgang befasste Stelle, sozusagen auf Vorrat, ist unzulässig. Vielmehr muss zwischen den Behörden ein Vorgang der Amtshilfe stattfinden, was hier nicht der Fall war. § 29 Absatz 1 SDG bestimmt weiterhin, dass die übermittelnde Stelle zunächst versuchen muss die Einwilligung des Betroffenen - hier des Beamten - einzuholen. Auch dies war hier nicht geschehen. Auf andere Erlaubnistatbestände, beispielsweise solche aus dem SDSG konnte sich der Amtsleiter nicht berufen, da § 29 SDG eine spezielle Sonderregelung darstellt, die Mitteilungen zwischen Dienststellen über Disziplinarvorgänge umfassend und abschließend regelt. 104 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 19 Videoüberwachung 19.1 Einführung in die Thematik Ob Videoüberwachung unter Nachbarn, der Umgang mit Bilddaten von Kunden durch Gewerbetreibende, die Überwachung von Mitarbeitern oder der Einsatz von Drohnen und Dashcams, der thematische Bogen der Videoüberwachung ist weit gespannt und sowohl in technischer als auch rechtlicher Hinsicht durch eine große Dynamik geprägt. Im Berichtszeitraum sind verschiedene gerichtliche Entscheidungen mit teils richtungsweisendem Charakter ergangen. So wurde durch das Urteil des Europäischen Gerichtshofs vom 11. Dezember 2014 - C-212/13 - die Anwendbarkeit der Datenschutzrichtlinie 95/46/EG auf die zweckgerichtete Videoüberwachung von öffentlichem Raum durch Privatpersonen festgestellt, was mit der bisherigen Auslegungspraxis der deutschen Aufsichtsbehörden korrespondiert. Darüber hinaus sind unter anderem das Dashcam-Urteil des Verwaltungsgerichts Ansbach vom 12. August 2014 - AN 4 K 13.01634 - und die Entscheidung des Oberverwaltungsgerichts Lüneburg vom 29. September 2014 - 11 LC 114/13 hinsichtlich der Zulässigkeit der Videoüberwachung eines Treppenhauses zu nennen. Neben der aufsichtsbehördlichen Sanktionierung unzulässiger Videoüberwachungsmaßnahmen wurde im Berichtszeitraum vor allem ein Schwerpunkt auf Aufklärung und präventive Beratung gelegt. Durch Informationsveranstaltungen und der Erstellung von themenspezifischen Publikationen soll erreicht werden, dass von vornherein der Einsatz von unzulässigen Überwachungsmaßnahmen vermieden wird. 19.2 Videoüberwachung im Beschäftigungsverhältnis Immer wieder werden die Aufsichtsbehörden für den Datenschutz in Deutschland mit Fällen konfrontiert, in denen Beschäftigte eines Unternehmens per Videoüberwachung kontrolliert werden. So hat auch das Unabhängige Datenschutzzentrum des Saarlandes im Berichtszeitraum mehrere Eingaben zu dieser Thematik erhalten und musste die datenschutzrechtliche Zulässigkeit der Videoüberwachung beurteilen. Generell ist dazu anzumerken, dass bereits im Jahr 2004 das Bundesarbeitsgericht festgestellt hat, dass eine permanente Videoüberwachung am Arbeitsplatz und der damit einhergehende permanente Überwachungsdruck in schwerwiegender Weise in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingreift. Eine „Rund-um-die-UhrÜberwachung“ von Mitarbeitern ist aufgrund dieses schwerwiegenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten unzulässig (BAG Beschluss vom 14. Dezember 2004 AZ: 1 ARB 34/03). Nur in ganz besonderen Ausnahmefällen kann eine solche Maßnahme gerechtfertigt sein. Eine permanente Videoüberwachung der Beschäftigten ist beispielsweise denkbar, wenn der Beschäftigte in einem be- 105 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht sonders gefahrträchtigen Arbeitsbereich tätig ist und der Arbeitgeber seiner Schutzpflicht nachkommen muss. In der Regel fällt die Abwägung zwischen den Interessen eines Arbeitgebers an einer Videoüberwachung und den schutzwürdigen Belangen der Beschäftigten jedoch zugunsten der Beschäftigten aus. Die Zulässigkeit ist im Einzelfall zu überprüfen. In der Abwägung zwischen den berechtigten Interessen der Arbeitgeber und der Beschäftigten an der Durchführung einer Videoüberwachung ist insbesondere zu gewichten, ob dem Beschäftigten überhaupt ein kontrollfreier und damit unbeobachteter Arbeitsbereich zur Verfügung steht. Generell unzulässig ist eine Videoüberwachung in sensiblen Bereichen wie Umkleidekabinen, sanitäre Einrichtungen und Aufenthaltsräume. Auch eine Videoüberwachung zur reinen Leistungs- und Verhaltenskontrolle der Beschäftigten ist unzulässig. Da eine Videoüberwachung dazu geeignet ist, das Verhalten und die Leistung der Beschäftigten zu dokumentieren, ist die Installation einer Videoüberwachung im Betrieb mitbestimmungspflichtig, soweit ein Betriebsrat im Unternehmen existiert. Bei der Installation einer Videoüberwachung im Betrieb empfehlen wir daher den Abschluss einer Betriebsvereinbarung, die eine Auswertung der Videosequenzen zur Verhaltens- und Leistungskontrolle der Belegschaft ausschließt. Der Düsseldorfer Kreis hat aufgrund der vermehrten Eingaben zur Thematik am 26. Februar 2014 eine Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht. Darin wird unter anderem unter Punkt 4 auch explizit auf die Videoüberwachung von Beschäftigten eingegangen. Die Orientierungshilfe ist in unserem Internetangebot zu finden und gibt eine umfassende Hilfestellung zur Zulässigkeitsprüfung von Videoüberwachungsmaßnahmen. 19.3 Videoüberwachung in der industriellen Produktion In einem weiteren Fall wurden wir von einem Mitarbeiter eines industriellen Produktionsbetriebes darüber informiert, dass der Eigentümer der Firma eine Videokamera zur Überwachung seiner Mitarbeiter angebracht habe. Der Bitte um Stellungnahme zur Erforderlichkeit der Videoüberwachungsmaßnahme kam der Eigentümer nicht in ausreichendem Maße nach, so dass sich zwei Mitarbeiter des Datenschutzzentrums vor Ort ein Bild der Videoüberwachungsmaßnahme machten. Die angebrachte Netzwerkkamera war so ausgerichtet, dass sie die in der Produktionshalle tätigen Mitarbeiter permanent überwachen konnte. Die Kamera war geeignet, sowohl Ton- als auch Bildaufzeichnungen anzufertigen. Der Zugriff auf die Kamera konnte über jeden Browser erfolgen. Bei der Überprüfung vor Ort wurde festgestellt, dass auf dem PC einer Mitarbeiterin, die Zugriffsrechte zur Netzwerkkamera besaß, keine gespeicherten Videosequenzen zu finden waren. Es wurde während des Zugriffs auf die Kamera lediglich ein Livebild aus der Produktionshalle wiedergegeben, auf dem einige Mitarbeiter permanent zu sehen waren. Als Begründung für die Installation der Kamera gab der Betreiber mehrere Szenarien an. So sollte beispielsweise der Produktionsablauf in der 106 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Halle kontrolliert werden, damit bei Komplikationen direkt eingegriffen werden könnte. Dieses Argument war jedoch dadurch zu widerlegen, dass ständig Mitarbeiter vor Ort waren, die bei Komplikationen einschreiten konnten. Ein weiterer Grund war die Überwachung eines explosionsgefährdeten Bereichs. Allerdings war die Kamera so ausgerichtet, dass der explosionsgefährdete Bereich nicht erfasst wurde. Darüber hinaus sollte die Kamera auch der Diebstahlprävention dienen. Ein erfolgter Diebstahl, der zur Anzeige gebracht wurde, konnte uns jedoch nicht belegt werden. Als entscheidender Anlass zur Installation der Kamera wurde uns mitgeteilt, dass der Firmeninhaber während eines Kontrollganges kurz vor Schichtende festgestellt hatte, dass einige seiner Mitarbeiter bereits umgezogen auf den Feierabend gewartet haben. Aus diesem Grund eine Kamera zu installieren, die permanent alle Mitarbeiter überwacht, steht jedoch nicht im Verhältnis zum Vergehen der Mitarbeiter. Als milderes Mittel der Kontrolle hätten hier häufigere Kontrollgänge durch den Inhaber der Firma, der auch auf dem Firmengelände eine Wohnung bewohnt, völlig ausgereicht. Die eingesetzte Kamera unterstützte das 2-Wege-Audio-System. Sie hatte ein Mikrofon und einen Audioausgang für einen Lautsprecheranschluss. Die Möglichkeit der Tonaufzeichnung war allerdings deaktiviert. Wir haben in diesem Zusammenhang allerdings darauf hingewiesen, dass es § 201 Strafgesetzbuch (StGB) unter Strafandrohung verbietet, das nicht-öffentlich gesprochene Wort aufzuzeichnen oder abzuhören. Sofern eine Videokamera über eine solche Audiofunktion verfügt, ist sie irreversibel zu deaktivieren. Im Rahmen der Anhörung war der Inhaber des Betriebes bereit, die Kamera zu deinstallieren und einen datenschutzkonformen Zustand herzustellen. 19.4 Videoüberwachung während einer Prüfung in der Universität des Saarlandes Im Frühjahr 2013 erhielten wir den Anruf eines Studenten. Er informierte uns darüber, dass er gerade aus einer Prüfung an der Universität des Saarlandes komme und die Prüflinge per Videosequenz auf zwei Leinwänden im Frontbereich des Hörsaals projiziert und überwacht wurden. Unmittelbar nach diesem Anruf fuhren zwei Mitarbeiter des Unabhängigen Datenschutzzentrum Saarland zur Universität, um sich selbst ein Bild von diesen Vorwürfen zu machen. Ursprünglich wurde die Videoanlage installiert, um im Rahmen von ELearning-Veranstaltungen beispielsweise einen Vortrag direkt ins Netz zu streamen oder die Aufzeichnung zu Nacharbeitszwecken zur Verfügung zu stellen. Die Anlage zu Überwachungszwecken während einer Prüfung zu benutzen war nicht Sinn und Zweck der Anlage. Gerade in Prüfungssituationen sind Studenten bereits einer besonderen Drucksituation ausgesetzt. Diese Situation zu verschärfen, indem die Studenten per Livestreaming an eine Leinwand im Frontbereich des Hörsaals projiziert werden, stellt einen unverhältnismäßigen Eingriff in das informationelle Selbstbestimmungsrecht der Studenten dar. Im Rahmen der Verhältnismäßigkeitsprüfung muss festgestellt werden, dass die Überwa- 107 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht chung der Studenten während der Prüfung mit milderen Mittel, sprich mehr Personal, durchgeführt werden kann. Im Nachgang zu unserem Prüfbesuch wurden folgende Voraussetzungen für eine Nutzung der Videoanlage im Hörsaal festgelegt: 1. Es findet keine Videoüberwachung während einer Prüfung statt. 2. An die Eingangstüren des Hörsaals werden Schilder angebracht, die darüber informieren, dass die Videoanlage nur bei ELearning-Veranstaltungen eingeschaltet wird. 3. Wann eine E-Learning-Veranstaltung stattfindet wird den Studenten im Vorfeld frühzeitig mitgeteilt. 4. Die Universitätsleitung wird alle Professoren und Dozenten in einem Schreiben darauf hinweisen, dass eine Videoüberwachung während einer Prüfung unzulässig ist. 5. Die Zugriffsrechte auf die Videoanlage werden derart beschränkt, dass nur der zuständige Techniker die Anlage freischalten kann. Die Universität des Saarlandes ist unseren Forderungen gefolgt und hat einen datenschutzkonformen Zustand hergestellt. 19.5 Datenschutzrechtliche Bedingungen für den Einsatz mobiler Videokameras Für die Frage nach der Anwendung des Bundesdatenschutzgesetzes (BDSG) im Zusammenhang mit Videoüberwachungsmaßnahmen ist es grundsätzlich unerheblich, ob stationäre Kameras oder mobile Geräte (Smartphone, portable Kameras, Drohnen10 etc.) eingesetzt werden. Wie nachfolgend am Beispiel von Drohnen sowie Dash- und sog. ActionCams11 aufgezeigt wird, kann jedoch mit dem Einsatz von mobilen Kameras bzw. mit Kameras bestückten mobilen Geräten hinsichtlich der Tiefe des damit verbundenen Eingriffs in das allgemeine Persönlichkeitsrecht und der Anzahl der davon potentiell Betroffenen ein weitaus größeres Bedrohungsszenario verbunden sein, als dies bei stationären Kameras der Fall ist. 10 11 Begrifflich ist dem Grunde nach, abhängig von dem Zweck der Nutzung, zwischen unbemannten Luftfahrtsystemen (UAS) und Flugmodellen zu unterscheiden. Bei gewerblicher Nutzung handelt es sich um UAS, bei der Nutzung für Zwecke des Sports und der Freizeitgestaltung kommen sog. Flugmodelle zum Einsatz. Der Begriff Drohne ist eigentlich einem militärischen Kontext vorbehalten, jedoch mittlerweile umgangssprachlich so weit verbreitet, dass im weiteren Text der Einfachheit halber nur noch von Drohne die Rede sein wird. Dashcams oder On-Board-Cams sind Kameras, die auf dem Armaturenbrett oder an der Windschutzscheibe von Autos angebracht sind und mit deren Hilfe das Verkehrsgeschehen im unmittelbaren Umfeld des Fahrzeugs aufgezeichnet wird. Sog. Action-Cams werden vereinzelt von Rad- oder Motorradfahrern eingesetzt und sind zumeist an Helmen angebracht. 108 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 19.5.1 Fliegender Eingriff in das Persönlichkeitsrecht: Gesetzliche Rahmenbedingungen für den Einsatz von mit Kameras ausgerüsteten Drohnen In zunehmendem Maße werden Eingaben Betroffener und Anfragen von Ortspolizeibehörden an die Aufsichtsbehörde herangetragen, die den Einsatz von mit Videokameras ausgestatteten Drohnen zum Gegenstand haben. Aufgrund einer nahezu selbstverständlichen Verfügbarkeit im Einzelhandel und zusehends fallender Preise für immer leistungsfähigere Geräte erfolgt ein Einsatz von Drohnen längst nicht mehr bloß in einem polizeilichen oder militärischen Verwendungszusammenhang. Neben gewerblichen Akteuren, die Drohnen für verschiedene Zwecke12 einsetzen, sind es immer häufiger Privatpersonen, die solche Geräte im Rahmen ihrer Freizeitgestaltung nutzen, ohne sich oftmals über die rechtlichen Implikationen deren Einsatzes im Klaren zu sein. Im Vergleich zum Einsatz stationärer Videoüberwachungsmaßnahmen kann der Einsatz von Drohnen mit einem ungleich größeren Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen verbunden sein, da der potentiell überwachbare Bereich nur von den technischen Gegebenheiten des eingesetzten Geräts begrenzt wird. Mauern, Zäune oder sonstige Abtrennungen, die Dritten das Betreten des so geschützten Bereichs oder den Einblick in diesen gerade erschweren oder unmöglich machen sollen, stellen im Rahmen des Drohneneinsatzes kein Hindernis dar. Darüber hinaus ist es für Betroffene auch regelmäßig nicht ohne Weiteres möglich, den für den Drohneneinsatz Verantwortlichen zu erkennen. An dieser Stelle sollen die Anforderungen an einen gesetzeskonformen Drohneneinsatz und die rechtlichen Handlungs- und Abwehrmöglichkeiten für Betroffene näher dargestellt werden. Luftverkehrsrechtliche Regelungen Während für Drohnen, die privat im Rahmen der Freizeitgestaltung eingesetzt werden, nach § 16 Abs. 1 Nr. 1 Luftverkehrsordnung (LuftVO) nur dann eine Aufstiegsgenehmigung von der zuständigen Landesluftfahrtbehörde einzuholen ist, wenn diese 12 eine Gesamtmasse mit mehr als 5 Kilogramm aufweisen, mit Raketenantrieb, sofern der Treibsatz mehr als 20 Gramm beträgt, ausgestattet sind, mit Verbrennungsmotor in einer Entfernung von weniger als 1,5 Kilometern von Wohngebieten eingesetzt werden oder Beispielsweise ist der Einsatz von Drohnen zur Objektüberwachung, im Rahmen von bautechnischen Arbeiten, im Veranstaltungsmanagement oder in der Tourismuswerbung mittlerweile üblich. Perspektivisch sei in diesem Zusammenhang auch auf den beabsichtigten Einsatz von Drohnen zur Auslieferung von Paketen durch Online-Händler und Postdienstleister hingewiesen. 109 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht in einer Entfernung von weniger als 1,5 Kilometern von der Begrenzung von Flugplätzen betrieben werden, sind Drohnen in einem gewerblichen Zusammenhang als Luftfahrzeuge im Sinne des § 1 Abs. 2 Satz 3 Luftverkehrsgesetz (LuftVG) nach § 16 Abs. 1 Nr. 7 LuftVO grundsätzlich genehmigungspflichtig. Die handelsübliche Drohne kann somit von Privatpersonen in einem freizeitlichen Rahmen ohne Beteiligung der Luftfahrtbehörde und ohne weitere Anforderungen an Eignung oder Zuverlässigkeit der Person des Nutzers eingesetzt werden. Im Rahmen des gewerblichen Drohneneinsatzes erteilt die zuständige Luftfahrtbehörde13, sofern kein Ausschlussgrund nach § 15a Abs. 3 Satz 1 Nr. 1 oder 2 LuftVO (der Betrieb der Drohne erfolgt außerhalb der Sichtweite des Steuerers oder die Gesamtmasse des Geräts beträgt mehr als 25 Kilogramm) gegeben ist, nach erfolgter Antragstellung des Nutzers und Feststellung der Unbedenklichkeit des Einsatzes nach § 16 Abs. 1 Nr. 7 und Abs. 4 LuftVO die Aufstiegsgenehmigung. § 16 Absatz 4 LuftVO Die Erlaubnis wird erteilt, wenn die beabsichtigten Nutzungen nicht zu einer Gefahr für die Sicherheit des Luftverkehrs oder die öffentliche Sicherheit oder Ordnung führen können, insbesondere im Fall von Absatz 1 Nummer 7 die Vorschriften über den Datenschutz nicht verletzen. […] Nach § 16 Abs. 4 Satz 1 LuftVO sind mithin von der Luftfahrtbehörde vor der Erteilung der Aufstiegsgenehmigung auch ausdrücklich datenschutzrechtliche Belange zu prüfen. Punkt 2.3 der „Gemeinsamen Grundsätze des Bundes und der Länder für die Erteilung der Erlaubnis zum Aufstieg von unbemannten Luftfahrtsystemen gemäß § 16 Abs. 1 Nummer 7 Luftverkehrs-Ordnung (LuftVO)“ führt dazu aus, dass die im Rahmen der Antragsprüfung erfolgende Feststellung der Verletzung von Datenschutzvorschriften durch die beabsichtigte Nutzung immer die Erlaubnisversagung zum Ergebnis hat. Die Konzeption des von der saarländischen Luftverkehrsbehörde genutzten Antragsformulars auf Erteilung einer allgemeinen Aufstiegserlaubnis für unbemannte Luftfahrtsysteme legt nahe, dass sich die datenschutzrechtliche Prüfung lediglich in der Selbstverpflichtung des Antragsstellers erschöpft, datenschutzrechtliche Bestimmungen nicht zu verletzen (dort Punkt 6. im Antragsformular). Inwiefern der Nutzer bei Antragstellung jedoch überhaupt die materiell- und formalrechtlichen Voraussetzungen für einen datenschutzkonformen Drohneneinsatz kennen kann, muss dahingestellt bleiben. Bedauerlicherweise wurde von der saarländischen Luftfahrtbehörde der Vorschlag des Datenschutzzentrums zur Erstellung einer gemeinsamen 13 Im Saarland ist die zuständige Luftfahrtbehörde beim Ministerium für Wirtschaft, Arbeit, Energie und Verkehr, Referat D/6, Franz-Josef-Röder-Straße 17, 66119 Saarbrücken angesiedelt. 110 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Informationsbroschüre, welche den Antragstellern die Voraussetzungen und Pflichten im Zusammenhang mit einem datenschutzkonformen Drohneneinsatz erläutert, nicht aufgegriffen. Datenschutzrechtliche Regelungen Erfolgt der Einsatz der Drohne in einem gewerblichen Kontext, gelten die Regelungen des BDSG uneingeschränkt. Maßgebliche Vorschrift für die datenschutzrechtliche Zulässigkeitsprüfung des Einsatzes einer mit Videokamera ausgestatteten Drohne, sofern nicht lediglich Einzelbildaufnahmen angefertigt werden, ist § 6b BDSG, welche die Videoüberwachung von öffentlich zugänglichen Räumen durch nicht-öffentliche Stellen regelt. Für die Anwendbarkeit des § 6b BDSG kommt es darauf an, dass ein Personenbezug der von der Drohnenkamera erhobenen Bilddaten hergestellt werden kann. Da sich nach § 3 Abs. 1 BDSG der Personenbezug auf persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person erstreckt, können ggf. auch Aufnahmen von Grundstücken und Gebäuden als personenbezogene Informationen angesehen werden, soweit eine Zuordnung zu natürlichen Personen möglich ist. Bei Aufnahmen von Personen ist ein Personenbezug dann zu verneinen, wenn bei Einsatz von Kameras zwar Personen erkennbar sind, deren Identifizierung jedoch ausgeschlossen ist, da klare Zuordnungsmerkmale (Aussehen, Erscheinungsbild etc.) nicht oder nur sehr begrenzt wahrnehmbar sind.14 Die Anwendbarkeit von § 6b BDSG ist darüber hinaus nur dann gegeben, wenn beim Einsatz einer mit Kamera ausgerüsteten Drohne öffentlich zugängliche Bereiche wie Straßen und Gehwege (mit-)überwacht werden. Eine Beobachtung könnte dann zulässig sein, soweit sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen (§ 6b Abs. 1 Nr. 2 und 3 BDSG). Ein Drohneneinsatz zur Wahrnehmung des Hausrechts wäre allenfalls im Zusammenhang mit Maßnahmen des Objektschutzes denkbar, jedoch endet dann die Überwachungsbefugnis grundsätzlich an der Grenze des vom Hausrecht umfassten Bereichs. Zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke sind zwar verschiedene Einsatzszenarios vorstellbar, jedoch sind durch den Betreiber eben auch die schutzwürdigen Interessen Betroffener zu berücksichtigen. Das Erstellen und Speichern von Bildaufnahmen stellt grundsätzlich einen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen dar. Bei der gezielten Beobachtung einzelner Personen oder 14 Dies kann z.B. beim Einsatz von Infrarotkameras oder Kameras, die so angebracht sind, dass aufgrund der großen Distanz zwischen Objekt und Objektiv eine Unterscheidung von einzelnen Personen ausgeschlossen ist, der Fall sein. 111 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht der Überwachung von Bereichen, die über Betroffene zusätzlich sensible Informationen preisgeben, wie beispielsweise bei der Überwachung von religiösen, gewerkschaftlichen oder medizinischen Einrichtungen, überwiegen grundsätzlich die schutzwürdigen Interessen Betroffener. Bei einem Überflug über ein Festivalgelände oder bei der Aufnahme einer touristischen Attraktion dürfte ein Überwiegen schutzwürdiger Interessen Betroffener regelmäßig nicht der Fall sein, jedoch gilt es dann für den Drohnenbetreiber verschiedene weitere Erfordernisse zu beachten. So ist u.a. nach § 6b Abs. 2 BDSG auf den Umstand der Beobachtung und die dafür verantwortliche Stelle hinzuweisen. Dies ist beim Drohneneinsatz innerhalb eines von vorherein begrenzten Bereichs ggf. noch umsetzbar; wie dieser gesetzlichen Hinweispflicht aber bei einem Einsatz in nicht begrenzten Bereichen - beispielsweise im Rahmen der Drohnennutzung zur Paketzustellung - nachgekommen werden kann, bleibt unklar. Da eine Überwachung, die eine Speicherung von Aufnahmen umfasst, nach der Entscheidung des Europäischen Gerichtshofs vom 11. Dezember 2014 zudem eine automatisierte Verarbeitung personenbezogener Daten darstellt,15 ist ein Verfahrensverzeichnis nach § 4e in Verbindung mit § 4g Abs. 2 oder 2a BDSG zu erstellen und, sofern von der verantwortlichen Stelle kein Beauftragter für den Datenschutz bestellt ist, das Verfahren nach § 4d Abs. 1 BDSG der zuständigen Datenschutzaufsichtsbehörde vor Inbetriebnahme zu melden. Erfolgt der Einsatz der Drohne dagegen in einem privaten Kontext, findet das BDSG nur unter bestimmten Voraussetzungen Anwendung. § 1 Abs. 2 Nr. 3 BDSG Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch […] nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Ein Drohneneinsatz im Rahmen der Ausübung eines Hobbys oder zur Freizeitgestaltung stellt somit nach dem Willen des Gesetzgebers einen Bereich persönlicher Lebensführung dar, der außerhalb des datenschutzrechtlichen Regelungsregimes anzusiedeln ist. Jedoch ist diese Ausnahmeregelung restriktiv auszulegen. Sobald z.B. eine Veröffentlichung von Aufzeichnungen im Internet stattfindet oder ein zielgerichteter Drohneneinsatz zur Beobachtung öffentlich zugänglicher Räume erfolgt, ist diese Privilegierung im Sinne des § 1 Abs. 2 Nr. 3 BDSG ausgeschlossen und das BDSG vollumfänglich anwendbar. 15 Urteil des EuGH vom 11. Dezember 2014 - C-212/13 - Rdnr. 25. 112 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Handlungs- und Abwehrmöglichkeiten Betroffener Den mit dem Drohneneinsatz verbundenen Eingriff in das allgemeine Persönlichkeitsrecht16 Betroffener kann neben der Anrufung der Datenschutzaufsichtsbehörde auch zivilrechtlich begegnet werden. Vorrangig dann, wenn die Verletzung des allgemeinen Persönlichkeitsrechts in einem Eindringen in geschützte Bereiche, wie beispielsweise das befriedete und blickgeschützte Grundstück, besteht oder eine zielgerichtete Beobachtung erkennbar stattfindet, ist die Geltendmachung eines Abwehranspruchs aus § 823 in Verbindung mit § 1004 Abs. 1 Bürgerliches Gesetzbuch (BGB) analog möglich. In diesem Zusammenhang kann auch das Recht am eigenen Bild, als besondere Ausprägung des allgemeinen Persönlichkeitsrechts, im Sinne des Kunsturhebergesetzes (KUG) tangiert sein (§§ 22, 23 KUG), sofern eine Verbreitung oder Veröffentlichung der Aufzeichnungen erfolgt. Damit Betroffene überhaupt in die Lage versetzt werden, ihre Rechte wahrnehmen zu können, muss die Person des Drohnenführers ausfindig gemacht werden. Gestützt auf § 1 Abs. 3 Saarländisches Polizeigesetz kann eine zeitnahe Kontaktaufnahme mit dem örtlichen Ordnungsamt oder der örtlichen Polizeidienststelle mit dem Ziel der Identitätsfeststellung des Drohnenführers durch Mitarbeiter eben dieser Stellen zielführend sein. Das Einschalten der Strafverfolgungsbehörden ist vor allem dann angezeigt, wenn durch den Drohneneinsatz die Verwirklichung von Straftatbeständen droht, wie beispielsweise bei der Anfertigung von Bildaufnahmen höchstpersönlicher Lebensbereiche (§ 201a Strafgesetzbuch (StGB)), mithin Bereiche der Intimsphäre17, oder der Aufzeichnung von nichtöffentlich gesprochenem Wort (§ 201 StGB). Fazit Private Drohnennutzer sollten Drohnen nur auf Freiflächen einsetzen und geschützte oder befriedete Bereiche der persönlichen Lebensgestaltung nicht oder allenfalls nach Rücksprache mit den potentiell Betroffenen überfliegen. Gewerbliche Drohnenführer treffen neben der luftverkehrsrechtlichen Pflicht zur Beantragung einer Aufstiegsgenehmigung bei der Luftfahrbehörde weitreichende formale Verpflichtungen nach dem BDSG. Eine Kontaktaufnahme mit der Datenschutzaufsichtsbehörde ist somit vor einem Drohneneinsatz ratsam. Wenn mit einer Drohne zielgerichtet in geschützte Bereiche eingedrungen wird oder gar die Verwirklichung eines Straftatbestandes droht, sollten Betroffene zur Identifikation des Drohnenführers die Ortspolizeibehörde oder die örtliche Polizeidienststelle einschalten. Erfolgt der Drohneneinsatz erkennbar in einem gewerblichen Kontext, kann, sofern dem Betroffenen die datenschutzrechtlich verantwortliche Stelle bekannt ist, die Luftverkehrsbehörde sowie die Da- 16 17 Abgeleitet aus Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Absatz 1 Grundgesetz. Siehe dazu im Einzelnen auch die Bundestagsdrucksache 15/2466, S. 5. 113 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht tenschutzaufsichtsbehörde involviert und gegenüber der verantwortlichen Stelle ein Auskunftsanspruch nach § 34 Abs. 1 BDSG geltend gemacht werden. 19.5.2 Die Möglichkeit der Geltendmachung zivilrechtlicher Ansprüche bleibt Betroffenen jederzeit unbenommen. Videoüberwachung durch Teilnehmer am Straßenverkehr Im Berichtszeitraum wurde an das Datenschutzschutzzentrum bisher eine vergleichsweise überschaubare Anzahl an Anfragen und Eingaben im Zusammenhang mit dem Einsatz von Dash- und Action-Cams herangetragen. In allen Fällen wurde der datenschutzrechtlichen Bewertung der Aufsichtsbehörde Folge geleistet und es wurden die Geräte entfernt oder gar nicht erst in Betrieb genommen. Bemerkenswert dabei ist, dass zunehmend örtliche Polizeidienststellen den Einsatz von Kameras durch Verkehrsteilnehmer der Aufsichtsbehörde zur Kenntnis bringen. Aufgrund der freien Verfügbarkeit solcher Kameras im Handel wird künftig mit einem Anstieg der Anzahl der Eingaben zu rechnen sein. Datenschutzrechtliche Bewertung Bereits mit Beschluss vom 26./27. Februar 201318 verlautbarte der Düsseldorfer Kreis die datenschutzrechtliche Unzulässigkeit des Einsatzes von Außenkameras an Taxis. Aufgrund der gestiegenen Brisanz des Themas Videoüberwachung aus Fahrzeugen sah sich der Düsseldorfer Kreis auf Initiative seiner Ad-hocArbeitsgruppe Videoüberwachung veranlasst, dazu eigens den Beschluss vom 25./26. Februar 2014 zu veröffentlichen. Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sog. Dashcams) Mittlerweile nimmt der Einsatz sog. Dashcams auch in Deutschland immer mehr zu, um, so die standardmäßige Begründung, im Falle eines Unfalls den Hergang nachvollziehen und das Video gegebenenfalls als Nachweis bei der Regulierung von Schadensfällen und der Klärung von Haftungsfragen heranziehen zu können. Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nichtöffentlichen Bereich machen darauf aufmerksam, dass der Einsatz solcher Kameras - jedenfalls sofern dieser nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt - datenschutzrechtlich unzulässig ist. Soweit mit den Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmauf18 Siehe hierzu auch den 24. Tätigkeitsbericht des Unabhängigen Datenschutzzentrums Saarland, S. 100. 114 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht nahmen zur Dokumentation eines Unfallhergangs angegeben wird, ist der Einsatz – auch wenn die Kameras von Privatpersonen eingesetzt werden – an den Regelungen des Bundesdatenschutzgesetzes zu messen. Gemäß § 6b Abs. 1 Nr. 3 und Abs. 3 des Bundesdatenschutzgesetzes (BDSG) ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Voraussetzungen sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der Verkehrsteilnehmer überwiegen. Das informationelle Selbstbestimmungsrecht umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Dashcams zeichnen den Verkehr sowie Personen, die sich in der Nähe einer Straße aufhalten, ohne Anlass und permanent auf, so dass eine Vielzahl von Verkehrsteilnehmern betroffen ist, die sämtlich unter einen Generalverdacht gestellt werden, ohne dass sie von der Überwachung Kenntnis erlangen oder sich dieser entziehen können. Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Videoaufnahmen als Beweismittel zur Hand zu haben, kann diesen gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen. Da selbst die Polizei Videokameras zur Verfolgung von Straftaten und Ordnungswidrigkeiten nur auf der Grundlage spezifischer Regelungen und ausschließlich dann einsetzen darf, wenn gegen die betroffene Person ein entsprechender Anfangsverdacht besteht, können erst recht sonstige Stellen nicht für sich beanspruchen, den öffentlichen Verkehrsraum anlass- und schrankenlos mittels Kameras zu überwachen. Das Fazit dieses Beschlusses, dass das schutzwürdige Interesse der übrigen Verkehrsteilnehmer überwiegt, erfuhr auch unlängst Bestätigung in der Entscheidung des Verwaltungsgerichts Ansbach vom 12. August 2014 - AN 4 K 13.01634. Der Entscheidung lag die Klage eines Rechtsanwalts, welcher eine Dashcam für Beweissicherungszwecke einsetzte, gegen einen Bescheid des bayerischen Landesamts für Datenschutzaufsicht (LDA) zugrunde. Das LDA verfügte in diesem Bescheid nach § 38 Abs. 5 BDSG gegenüber dem Rechtsanwalt die Einstellung der Videoüberwachung wegen entgegenstehender schutzwürdiger Interessen der übrigen Verkehrsteilnehmer und Passanten. Das Verwaltungsgericht gab der Klage zwar wegen eines Formfehlers statt, schloss sich jedoch in der Sache der datenschutzrechtlichen Bewertung der bayerischen Kollegen an. Beweisverwertung von Aufnahmen in zivilgerichtlichen Verfahren Die essentielle Frage, ob mithilfe von Dashcams gewonnene Aufnahmen in einem zivilgerichtlichen Verfahren überhaupt verwertbar sind, wurde wiederum zuerst von einem bayerischen Gericht beantwortet. Jedoch wurden vom Amtsgericht München dazu zwei gegensätzliche Ansichten vertreten. Mit Urteil vom 6. Juni 2013 - 343 C 4445/13 - entschied das Gericht, dass die Aufnahmen in dem Verfahren verwertet werden dürfen, da die Abwägung der Interessen der beteiligten Parteien zugunsten der Partei 115 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht ausfiel, die das Video für ihre Beweiszwecke in das Verfahren einbrachte. Dieses Urteil des Amtsgerichts München wurden durch die Entscheidung vom 13. August 2014 - 345 C 5551/14 - relativiert. Wohl in Kenntnis des oben angeführten Dashcam-Beschlusses des Düsseldorfer Kreises kam dort das Gericht zum Ergebnis, dass eine Verwertung der Aufnahmen ausgeschlossen sei, da ihre Erstellung zwangsläufig mit einem unzulässigen Eingriff in das informationelle Selbstbestimmungsrecht der übrigen Verkehrsteilnehmer verbunden ist. Das Interesse des Überwachenden im Bedarfsfall die Aufnahmen zur Beweisführung einzusetzen wiege nicht schwerer als der permanente und anlasslose Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen Verkehrsteilnehmer. Auch das Landgericht Heilbronn hat in seinem Urteil vom 17. Februar 2015 - I 3 S 19/14 - aus den gleichen Gründen eine Beweisverwertung von Dashcam-Aufnahmen ausgeschlossen. Fazit 19.6 Der Einsatz von Dash- und Actioncams im Rahmen der Ausübung eines Hobbys oder zur Freizeitgestaltung außerhalb des öffentlichen Verkehrsraums stößt im Hinblick auf § 1 Abs. 2 Nr. 3 BDSG regelmäßig nicht auf datenschutzrechtliche Bedenken. Sofern Dritte aufgenommen werden gilt dies jedoch nur, insoweit die Aufzeichnungen nicht im Internet oder auf sonstigem Wege veröffentlicht werden. Der Einsatz von Dash- und Actioncams im öffentlichen Verkehrsraum ist regelmäßig wegen überwiegender schutzwürdiger Interessen Betroffener unzulässig. Anderes gilt allenfalls dann, wenn schlüssig und objektiv nachvollziehbar dargelegt werden kann, dass der Cam-Einsatz im Rahmen einer persönlichen oder familiären Tätigkeit im Sinne des § 1 Abs. 2 Nr. 3 BDSG erfolgt. Die saarländische Datenschutzaufsichtsbehörde wird - dem oben genannten Beschluss der Düsseldorfer Kreise entsprechend - erforderlichenfalls die Einstellung einer unzulässigen Videoüberwachung durch Verkehrsteilnehmer mit Bescheid nach § 38 Abs. 5 BDSG anordnen und sich die Einleitung eines Bußgeldverfahrens nach § 43 Abs. 2 Nr. 1 BDSG vorbehalten. Für datenschutzrechtlich unzulässig erhobene Bildsequenzen scheidet eine prozessuale Beweisverwertung regelmäßig aus. Voraussetzungen für die Herausgabe von Aufzeichnungen durch den Betreiber einer Videoüberwachungsmaßnahme Ein Petent brachte der Aufsichtsbehörde zur Kenntnis, dass von einem Handelsunternehmen Aufzeichnungen der Videoüberwachungsanlage, 116 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht auf denen er abgebildet sei, seiner früheren Ehefrau zur Verfügung gestellt wurden. Vor dem Hintergrund eines bereits gerichtlich auf Grundlage des Gewaltschutzgesetzes (GewSchG) verfügten Annäherungsverbots habe diese den Kaufhausdetektiv um Zurverfügungstellung dieser Aufnahmen gebeten, um weitere Maßnahmen gegen ihren früheren Ehemann ergreifen zu können. Das Handelsunternehmen bestätigte in seiner Stellungnahme die Herausgabe der Videoaufzeichnungen an die frühere Ehefrau des Petenten und führte weiter aus, dass diese Übermittlung von Aufzeichnungen durch den Kaufhausdetektiv nach § 28 Abs. 2 Nr. 2 a) Bundesdatenschutzgesetz (BDSG) zulässig sei. § 28 Abs. 2 BDSG Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 2. soweit es erforderlich ist a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat. Zudem habe sich der Kaufhausdetektiv bei der örtlichen Polizeidienststelle erkundigt, ob die Herausgabe der Aufnahmen erfolgen könne, was von einem Mitarbeiter der Polizei bestätigt worden sei. Diese datenschutzrechtliche Bewertung des Sachverhalts hielt einer näheren rechtlichen Überprüfung nicht stand. Da der Bereich des Verkaufsraums, in dem die Videoaufnahmen des Petenten erstellt worden sind, während der Öffnungszeiten des Einkaufsmarktes von Kunden jederzeit betreten werden konnte, war das Erheben und Verarbeiten von personenbezogenen Daten im Rahmen der Videoüberwachungsmaßnahme nach § 6b BDSG zu beurteilen. § 6b BDSG, als spezielle Norm für Videoüberwachungsmaßnahmen im öffentlich zugänglichen Raum verdrängt § 28 BDSG, so dass die Übermittlung - als Unterfall der Verarbeitung - von Aufnahmen nicht nach § 28 Abs. 2 Nr. 2 a) BDSG sondern allenfalls nach § 6b Abs. 3 Satz 2 BDSG zulässig sein könnte. Ein hilfsweiser Rückgriff auf § 28 BDSG zur Legitimation einer Übermittlung ist somit ausgeschlossen. § 6b Abs. 3 BDSG Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der 117 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Durch § 6b Abs. 3 Satz 2 BDSG wird jedoch ausschließlich die Herausgabe von Videodaten an die Strafverfolgungsbehörden legitimiert; eine Übermittlung von Daten unmittelbar an Privatpersonen zur Verfolgung eigener Interessen ist davon nicht erfasst. Die Herausgabe der Aufnahmen des Petenten an dessen frühere Ehefrau durch den Kaufhausdetektiv erfolgte somit datenschutzrechtlich unzulässig. Dem Handelsunternehmen wurde aufgegeben, Richtlinien hinsichtlich eines datenschutzkonformen Umgangs mit Videodaten zu erstellen und die Mitarbeiter dahingehend zu informieren. Ob die unzulässige Herausgabe als Ordnungswidrigkeit im Sinne des § 43 Abs. 2 Nr. 1 BDSG verfolgt wird, wird noch durch die Bußgeldstelle des Datenschutzzentrums geprüft. § 43 Abs. 2 Nr. 1 BDSG Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet. Da vor dem Hintergrund des gerichtlich verfügten Annäherungsverbots das Verhalten des Petenten einen Straftatbestand nach § 4 GewSchG erfüllen könnte, hätte die frühere Ehefrau des Petenten mittelbar über die Strafverfolgungsbehörden die Herausgabe der Videodaten nach § 6b Abs. 3 Nr. 2 BDSG datenschutzrechtlich zulässig erwirken können. Fazit Eine unmittelbare Herausgabe von mithilfe einer Videoüberwachungsmaßnahme gewonnenen Aufzeichnungen an private Dritte (Kunden, Passanten etc.) zur Verfolgung ihnen gegenüber verübter Straftaten oder um diesen die Geltendmachung zivilrechtlicher Ansprüche zu ermöglichen, ist datenschutzrechtlich nicht zulässig und stellt als unzulässige Übermittlung an Dritte einen Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG dar. 19.7 Videoüberwachung durch den Inhaber eines Gastronomiebetriebs Videoüberwachungsmaßnahmen in Gastronomiebetrieben sind im Prüfungsalltag der Aufsichtsbehörde ein altbekanntes Phänomen. Erfreulicherweise wird in der Mehrzahl der Fälle eine Stellungnahme der Aufsichtsbehörde zur (Un-)Zulässigkeit von Überwachungsmaßnahmen von den Betreibern angenommen und umgesetzt, ohne dass es weiterer Maßnahmen bedarf. Der Gastronom in diesem Fall zeigte sich jedoch von seiner beratungsresistenten Seite. 118 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Videoüberwachung des gesamten Gehweges und Straßenzuges vor dem Gastronomiebetrieb und das Fehlen von Hinweisschildern wurden unserer Dienststelle durch einen Petenten, der sich als Passant einer ungerechtfertigten Videoüberwachung ausgesetzt sah, zur Kenntnis gebracht. Der Inhaber des Gastronomiebetriebes bestätigte die Überwachung des öffentlichen Verkehrsraums und führte in seiner Stellungnahme an, dass diese Überwachungsmaßnahme zum Schutz der Türsteher notwendig sei. Zudem würden die vor dem Gastronomiebetrieb geparkten Fahrzeuge der Gäste regelmäßig beschädigt. Des Weiteren wurde angeführt, dass Beeinträchtigungen der Fassade durch Graffiti, wie sie auch häufig in der Nachbarschaft zu finden seien, drohten. Bestätigungen über gestellte Strafanzeigen, Schadensmeldungen an Versicherungen o. ä., die ein berechtigtes Interesse für konkret festgelegte Zwecke im Sinne des § 6b Abs. 1 Nr. 3 Bundesdatenschutzgesetz (BDSG) objektiv nachvollziehbar zu Tage treten lassen, wurden vom Gastronomen nicht vorgelegt. Dem Betriebsinhaber, der auch Eigentümer des Gebäudes ist, wurde von unserer Dienststelle mitgeteilt, dass die Überwachung des nahezu gesamten öffentlichen Verkehrsraums im Umfeld des Gastronomiebetriebs datenschutzrechtlich unzulässig ist. Auch ist der Schutz von Rechtsgütern Dritter, somit die Überwachung zum Schutz der an der Straße geparkten Kundenfahrzeuge, kein berechtigtes Interesse im Sinne des § 6b Abs. 1 Nr. 3 BDSG. Die Überwachung eines Toleranzbereichs von einem Meter ab der Hausfassade wäre jedoch als zulässig zu erachten, da Beschädigungen an der Hausfassade und das Anbringen von Graffiti im Umfeld des Betriebes regelmäßig anzutreffen sind; insoweit war eine abstrakte Gefährdungslage zu Lasten des Eigentums des Überwachenden anzuerkennen. Der Betriebsinhaber zeigte sich mit dem datenschutzrechtlichen Votum der Aufsichtsbehörde nicht einverstanden und beharrte darauf, dass die bisher im Einsatz befindliche Videoüberwachung unabdingbar sei. Dementsprechend erhielt der Gastronom nach erfolgter Anhörung eine Anordnung auf Grundlage des § 38 Abs. 5 Satz 1 BDSG, mit welcher dem Inhaber die Beschränkung der Videoüberwachung auf einen Toleranzbereich von einem Meter ab der Gebäudefassade sowie die Anbringung von aussagekräftigen Hinweisschildern unter Androhung eines Zwangsgeldes19 auferlegt wurde. § 38 Abs. 5 Satz 1 und 2 BDSG Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach 19 Das saarländische Verwaltungsvollstreckungsrecht räumt die Möglichkeit ein, die Zwangsgeldandrohung bereits mit dem zugrundeliegenden Bescheid zu verbinden und das Zwangsgeld aufschiebend bedingt festzusetzen (§ 20 Abs. 2 Saarländisches Verwaltungsvollstreckungsgesetz). 119 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. […] Der Gastronom legte überraschenderweise gegen den Bescheid der Aufsichtsbehörde keinen Rechtsbehelf ein, so dass dieser bestandskräftig wurde. Da laut Überprüfung der um Amtshilfe gebetenen Polizei die Videoüberwachung durch den Betriebsinhaber nach wie vor in dem unzulässigen Umfang betrieben wurde und auch keine Hinweisschilder angebracht waren, wurde das angedrohte Zwangsgeld fällig gestellt und ein Verfahren über eine Ordnungswidrigkeit auf Grundlage des § 43 Abs. 1 Nr. 11 BDSG eingeleitet. § 43 Abs. 1 Nr. 11 BDSG Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt. Da nach dem Ergebnis einer weiteren Überprüfung durch den Betreiber immer noch keine datenschutzkonformen Zustände hergestellt wurden, wurde erneut ein Zwangsgeld fällig gestellt und von der in § 38 Abs. 1 Satz 6 BDSG normierten Möglichkeit der Unterrichtung der Gewerbeaufsicht Gebrauch gemacht werden. § 38 Abs. 1 Satz 6 BDSG Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Erst nachdem Vollstreckungsbeamte des zuständigen Finanzamts dem Gastronomen die Beitreibung der Zwangsgeldforderungen ankündigten, teilte dieser mit, dass die Videoüberwachungsmaßnahme nunmehr entsprechend den Vorgaben des Bescheids der Aufsichtsbehörde ausgestaltet sei. Mitarbeiter des Datenschutzzentrums konnten sich im Rahmen eines Vororttermins davon überzeugen. Bei diesem Vororttermin kam auch zu Tage, dass seitens der Gewerbeaufsichtsbehörde ein Gewerbeuntersagungsverfahren eingeleitet wurde. 19.8 Datenschutzrechtliche Bewertung von Kameras in einer Apotheke Mit einem übermäßigen Einsatz von Kameras in einer in räumlicher Hinsicht vergleichsweise überschaubaren Apotheke und einem in besonderem Maße um das „Wohl“ seiner Mitarbeiter besorgten Apotheker, hatte sich das Datenschutzzentrum im Berichtszeitraum auseinanderzusetzen. Ein Petent, der ausdrücklich darum bat, im Verwaltungsverfahren nicht namentlich in Erscheinung zu treten, machte unsere Dienststelle auf die 120 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Videoüberwachung in einer Apotheke aufmerksam. Der Aufforderung des Datenschutzzentrums zur schriftlichen Stellungnahme entsprechend teilte der Bevollmächtigte des Apothekers mit, dass eine permanente Videoüberwachung im Verkaufsraum und des Betäubungsmittelschrankes im nicht öffentlich zugänglichen Vorratsraum erforderlich sei, da in den vergangenen Jahren erhebliche Inventurdifferenzen zu Tage getreten seien. Ein vor allem drogenabhängiger Personenkreis habe nach Ansicht des Apothekers verschreibungspflichtige Medikamente entwendet. Da somit ein in besonderem Maße „kriminalitätsgefährdeter Personenkreis“ für das Abhandenkommen von Medikamenten verantwortlich sei, sei die Videoüberwachung somit nicht zuletzt zum Schutz der Mitarbeiter notwendig. Seit deren Anbringung sei keine nennenswerte Inventurdifferenz mehr aufgetreten. Der Apothekenleiter ließ durch seinen Bevollmächtigten noch ergänzend eine von allen Mitarbeitern unterzeichnete Erklärung übersenden, wonach alle Apothekenbeschäftigten sich mit der Videoüberwachungsmaßnahme einverstanden zeigten. In Anbetracht dieser Schilderung war es für die Mitarbeiter des Datenschutzzentrums umso erstaunlicher, dass vor dem geschilderten Hintergrund die Strafverfolgungsbehörden nicht eingeschaltet wurden oder konkret belegt werden konnte, welche Arten von Medikamente im Einzelnen, wie z.B. Betäubungsmittel, zu welchem Zeitpunkt abhandengekommen sind. Im Rahmen eines Vororttermins wurde von dem Apotheker entgegen seinem früheren Vorbringen nunmehr klargestellt, dass er seine Mitarbeiter für den Medikamentenschwund verantwortlich mache und diese mit der Videoüberwachung abschrecken und kontrollieren möchte. Konkrete Anhaltspunkte für ein Fehlverhalten einzelner Mitarbeiter seien jedoch nicht gegeben. Da die angeführten Inventurdifferenzen zu einem Zeitraum festgestellt wurden, zu dem die Videoüberwachungsmaßnahme bereits im Einsatz war, ohne dass mit ihrer Hilfe die Umstände des Medikamentenschwunds geklärt, geschweige denn eine Täteridentifikation erfolgen konnte, war festzustellen, dass offensichtlich keine Abschreckungswirkung von den Kameras ausging und diese Überwachung mithin nicht geeignet war, die mit ihr verfolgten Zwecke zu erreichen. Das Tatbestandsmerkmal der Erforderlichkeit im Sinne des § 6b Abs. 1 BDSG ist nur dann zu bejahen, wenn das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann (Geeignetheit) und es dafür kein anderes, gleich wirksames aber mit Blick auf die informationelle Selbstbestimmung des betroffenen Personenkreises weniger einschneidende Mittel gibt (Verhältnismäßigkeit). In Anbetracht der Inventurdifferenzen wäre insoweit eine Verkürzung der Inventurzyklen in Verbindung mit der Einführung eines elektronischen Warenwirtschaftssystem zielführender und vor allem weniger eingriffsintensiv. Bei der Bewertung der Geeignetheit der Überwachungsmaßnahme war auch der Hinweis des Apothekers von Belang, dass ihm die Zeit fehle, die Aufzeichnungen regelmäßig auszuwerten. Insoweit war fraglich, inwiefern das Abhandenkommen von Medikamenten mithilfe der Überwachungsmaßnahme überhaupt festgestellt werden kann. Auch für die Videoüberwachung des Betäubungsmittelschranks im nicht öffentlich zugänglichen Vorratsraum, von welcher nur Beschäftigte 121 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht betroffen waren und die somit nach § 32 Abs. 1 BDSG zu beurteilen war, war das Tatbestandsmerkmal der Erforderlichkeit nicht gegeben. § 32 Abs. 1 BDSG Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Das Verschließen des offenstehenden Schranks sowie die Verwahrung des Schlüssels und die Herausgabe von Betäubungsmitteln durch einen einzigen Mitarbeiter stellt eine geeignetere und im Hinblick auf die geltenden betäubungsmittelrechtlichen Aufbewahrungs- und Dokumentationsvorschriften20 notwendige Maßnahme dar, um den Betäubungsmittelbestand vor unbefugtem Zugriff zu schützen. Begründete Verdachtsmomente gegen Beschäftigte, die eine Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG legitimiert hätten, konnten von dem Apotheker nicht dargelegt werden. Darüber hinaus waren nach der datenschutzrechtlichen Bewertung schutzwürdige Interessen der betroffenen Kunden und Mitarbeiter schwerwiegender als das Interesse des Überwachenden an dem weiteren Betrieb der Kameras. Im Verkaufsraum wurden im Rahmen der Videoüberwachung auch besondere personenbezogene Daten im Sinne des § 3 Abs. 9 BDSG dahingehend erhoben und verarbeitet, als aufgrund der Ausrichtung der Kameras die Übergabe der Medikamente an den Apothekenkunden aufgezeichnet wurde. § 3 Abs. 9 BDSG Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 20 § 1 Abs. 3 und §§ 13 ff Betäubungsmittel-Verschreibungsverordnung (BtMVV) sowie § 15 Betäubungsmittelgesetz (BtMG) und die dazu ergangenen Richtlinien des Bundesinstituts für Arzneimittel und Medizinprodukte über Maßnahmen zur Sicherung von Betäubungsmittelvorräten im Krankenhausbereich, in öffentlichen Apotheken, Arztpraxen sowie Alten- und Pflegeheimen. 122 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Mittels der klar erkennbaren Umverpackungen der Arzneien konnte regelmäßig auf gesundheitliche Beeinträchtigungen von Betroffenen geschlossen werden. Zwar wird im Rahmen des Betriebs einer Apotheke zwangsläufig mit besonderen personenbezogenen Daten von Kunden, mithin Daten über deren Gesundheit, umgegangen; ein Erheben und Speichern dieser Daten mithilfe von Videokameras stellt jedoch eine neben der eigentlichen Apothekertätigkeit erfolgende automatisierte Verarbeitung von sensiblen Daten dar. Schutzwürdige Interessen der betroffenen Kunden überwogen grundsätzlich das Interesse des Apothekers an der Überwachung. Auch standen schutzwürdige Interessen der betroffenen Mitarbeiter der Überwachung entgegen, soweit deren Arbeitsplätze permanent im Aufnahmebereich der Videokameras gelegen sind. Aufgrund der nahezu lückenlosen Überwachung des vergleichsweise überschaubaren Verkaufsraums konnten sich die Beschäftigten der Überwachung durch ihren Arbeitgeber nicht ohne Weiteres entziehen. Die nachgereichte und von allen Mitarbeitern unterzeichnete Einwilligungserklärung stellte ebenfalls keine Legitimationsgrundlage für die Überwachung der Mitarbeiter dar. Voraussetzung für eine wirksame Einwilligung im Sinne des § 4a Abs. 1 BDSG ist u.a., dass diese auf der freien Entscheidung des Betroffenen beruht. § 4a Abs. 1 BDSG Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. Da das Merkmal Freiwilligkeit nur dann zu bejahen ist, wenn die Einwilligung nicht in einer Zwangslage oder unter Druck erteilt wurde, ist bei Einwilligungserklärungen im Verhältnis zwischen Arbeitgeber und Arbeitnehmer kritisch zu hinterfragen, inwiefern der Betroffene die Verarbeitung seiner Daten sanktionslos verweigern oder ein einmal erteiltes Einverständnis folgenlos widerrufen kann. Gerade vor dem Hintergrund der im Rahmen des Verfahrens vom Apotheker angeführten Zwecke der Videoüberwachungsmaßnahme und des anscheinend belasteten Verhältnisses zwischen den Arbeitsvertragsparteien, konnte hier mithin nicht davon ausgegangen werden, dass die Arbeitnehmer vollkommen frei in ihrer Entscheidung waren. Insgesamt war somit von einer datenschutzrechtlichen Unzulässigkeit der im Einsatz befindlichen Videoüberwachungsmaßnahme auszugehen. Der Apotheker wollte sich der Bewertung des Datenschutzzentrums jedoch nicht anschließen. Nach erfolgter Anhörung wurde die Einstellung der Videoüberwachung während der Öffnungszeiten der Apotheke auf Grundlage des § 38 Abs. 5 BDSG verfügt. Gegen den Bescheid wurde Klage eingelegt; das Klageverfahren ist bis dato nicht abgeschlossen. 123 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 19.9 Prüfungsaktion: Videoüberwachung in Clubs und Diskotheken Das Datenschutzzentrum hat im Berichtszeitraum anlasslos eine Anzahl von Clubs und Diskotheken hinsichtlich dort eingesetzter Videoüberwachungsmaßnahmen geprüft. Zur Vorbereitung der Prüfungen wurden die ausgewählten Stellen mithilfe eines Fragenkatalogs um Auskunft hinsichtlich der Zwecke und Ausgestaltung der Videoüberwachungsmaßnahme gebeten. Einige der angeschriebenen Betreiber waren sich nicht über das Vorhandensein einer saarländischen Datenschutzaufsichtsbehörde bewusst, denn teilweise wurden die erforderlichen Auskünfte erst nach mehrfacher Erinnerung und entsprechender Androhung, dass ein Bußgeldverfahren wegen nicht erteilter Auskunft eingeleitet wird, gegeben. Überraschend war, dass nahezu alle angeschriebenen Stellen eine Vielzahl von Videokameras einsetzten. Von den Betreibern wurden verschiedenste Zwecksetzungen für die Überwachung der öffentlich zugänglichen Räume im Sinne des § 6b Abs. 1 Bundesdatenschutzgesetz (BDSG) kommuniziert, wie beispielsweise der Schutz der Mitarbeiter des Sicherheitsdienstes, die Beweissicherung im Schadensfall oder bei Straftaten zu Lasten des Betreibers, als Abschreckung zur Vermeidung von Straftaten, die Wahrnehmung von Verkehrssicherungspflichten oder der Schutz der Gäste im Fall von Straftaten. Mitunter wurde von manchen Clubbetreibern angeführt, dass sie sich als verlängerten Arm der Strafverfolgungsbehörden wähnten und befürchteten, dass ein Weniger an Videoüberwachung sich sogar nachteilig auf das Verhältnis zu Polizei und Staatsanwaltschaft auswirken könnte. Teilweise wurde zudem versucht, die Videoüberwachung rechtlich über die Allgemeinen Geschäftsbedingungen (AGB) zu legitimieren. Durch das Betreten des Clubs oder der Diskothek und der Zahlung des Eintrittsgeldes würde der Besucher die AGBs und somit die dort geregelte Videoüberwachung akzeptieren. Unabhängig davon, dass derartige Klauseln der Geschäftsbedingungen eine unangemessene Benachteiligung gemäß § 307 Abs. 1 Satz 2 Bürgerliches Gesetzbuch (BGB) darstellen können,21 stellen diese zudem keinesfalls eine datenschutzrechtliche Legitimationsgrundlage dar. Nach § 4 Abs. 1 BDSG kann die Videoüberwachung nur mit Einwilligung des Betroffenen oder auf gesetzlicher Grundlage erfolgen. Da das Einholen einer informierten Einwilligung im Sinne des § 4a Abs. 1 BDSG in diesem Zusammenhang ausscheidet, kann somit die Videoüberwachung öffentlich zugänglicher Bereiche nur auf § 6b BDSG gestützt werden. In der Mehrzahl der Fälle erfolgte eine Inaugenscheinnahme der eingesetzten Videoüberwachung vor Ort. Dabei wurde von den Mitarbeitern der Aufsichtsbehörde festgestellt, dass neben Eingangs-, Kassen- und sonstigen Durchgangsbereichen teilweise auch Garderoben, Tanzflächen, Theken sowie Ruhebereiche und Lounges im Fokus der Kameras standen. Teilweise wurden zudem Parkplätze und ganze Straßenzüge überwacht. 21 LG Koblenz, Urteil vom 19.12.2013, 3 O 205/13. 124 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Keine einzige der festgestellten Überwachungsmaßnahmen war datenschutzrechtlich ohne Beanstandung. In keinem einzigen Fall war ein Verfahrensverzeichnis erstellt worden oder lagen sonstige schriftliche Festlegungen vor. Hinweisschilder waren zwar zumeist angebracht, erfüllten aber nicht die Vorgaben des § 6b Abs. 2 BDSG. Die Schilder waren entweder kaum erkennbar, ließen nicht auf die für die Überwachung verantwortliche Stelle schließen oder waren so angebracht, dass der Betroffene bei Kenntnisnahme des Schildes längst den überwachten Bereich betreten hatte. In einigen Fällen wurden von den Betreibern technische Dienstleister beauftragt, um Aufzeichnungen im Bedarfsfall auswerten zu lassen, ohne dass mit diesen ein Vertrag über eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG geschlossen wurde. Technische und organisatorische Maßnahmen im Sinne des § 9 BDSG und der dazugehörigen Anlage waren allenfalls kursorisch und nicht revisionssicher ergriffen worden. Hinsichtlich der im Einzelnen überwachten Bereiche ist festzuhalten, dass eine Überwachung von Parkplätzen und öffentlichem Verkehrsraum durch Club- und Diskothekenbetreiber regelmäßig datenschutzrechtlich nicht zulässig ist. Der Einsatz von Kameras in Eingangs-, Kassen- und Durchgangsbereichen sowie im Umfeld von Garderoben kann gerade bei großen oder stark frequentierten Diskotheken und Clubs als datenschutzrechtlich zulässig erachtet werden, sofern sichergestellt ist, dass keine Mitarbeiter oder Sicherheitskräfte permanent von der Videoüberwachung betroffen sind. Gäste durchqueren diese Bereiche in aller Regel ohne längere Verweildauer, so dass schutzwürdige Interessen Betroffener der Videoüberwachung regelmäßig nicht entgegenstehen. Anders verhält es sich mit der Überwachung von Tanzflächen, Theken sowie Ruhebereichen und Lounges. Hier überwiegt das schutzwürdige Interesse der Betroffenen, sich frei und unbeobachtet in ihrer Persönlichkeit entfalten zu können. Von den Betreibern, welche diese Bereiche überwachen, konnte auch nicht dargelegt werden, aus welchem Grund die Überwachung gerade dieser Bereiche unabdingbar sein soll. Oftmals wurde in diesem Zusammenhang angeführt, dass es in diesen Bereichen zu Tätlichkeiten oder zu Diebstahlsdelikten zu Lasten der Kunden käme. Auf Nachfrage wie häufig Fälle von Tätlichkeiten bzw. Körperverletzungen mithilfe der Kameras dokumentiert werden konnten, wurde von allen Betreibern eingestanden, dass dies bisher noch nicht eingetreten ist. Da die Ausrichtung der Videokameras zudem wegen der Nutzung von Dome-Kameras für die Betroffenen nicht erkennbar war, kann dieser Effekt auch nicht auf eine besondere Abschreckungswirkung der Kameras zurückgeführt werden. Der Schutz von Rechtsgütern Dritter, mithin der häufig als Zweck angeführte Schutz des Eigentums der Gäste, stellt im Übrigen kein berechtigtes Interesse im Sinne des § 6b Abs. 1 Nr. 3 BDSG dar, das eine Videoüberwachung legitimieren könnte. Oftmals war auch das Tatbestandsmerkmal der Erforderlichkeit der Überwachungsmaßnahme im Sinne des § 6b Abs. 1 BDSG zu verneinen. 125 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Wenn aufgrund des Einsatzes von Lichteffekten (Blitzlicht-Stroboskop, Lasershows etc.) und Nebelmaschinen die Aufzeichnungen gar nicht dazu geeignet sind, überhaupt einzelne Personen erkennen zu können oder durch einfachste bauliche Maßnahmen Diebstahldelikte zu Lasten des Betreibers künftig vermieden werden können, wird die Videoüberwachung in diesen Bereichen obsolet. Einige der Diskothekenbetreiber deaktivierten die Videoüberwachung, nachdem ihnen durch das Datenschutzzentrum im Nachgang zur Prüfung die erforderlichen Maßnahmen mitgeteilt worden sind, die im Zusammenhang mit einem datenschutzkonformen Betrieb einer Videoüberwachungsmaßnahme zu ergreifen sind. So waren von einigen Diskotheken aufgrund des großflächigen Einsatzes zahlreicher Kameras nach § 4d Abs. 5 Satz 2 Nr. 2 in Verbindung mit § 4f Abs. 1 Satz 6 BDSG betriebliche Beauftragte für den Datenschutz zu bestellen gewesen, da vor der Etablierung einer Videoüberwachungsmaßnahme eine Vorabkontrolle notwendigerweise durchzuführen war. § 4d Abs. 5 BDSG Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. In einigen Fällen war es ausreichend, dass die Ausrichtung einzelner Kameras geändert und die vom BDSG vorgegebenen formalen sowie technischen und organisatorischen Maßnahmen umgesetzt wurden. 19.10 Kameraeinsatz bei der Bewirtschaftung von Parkflächen Aufgrund eines fehlenden Hinweisschilds wurde die Aufsichtsbehörde auf die Videoüberwachungsmaßnahme an einer Schrankenanlage aufmerksam gemacht. Die verantwortliche Stelle teilte in ihrer Stellungnahme zu dem Sachverhalt mit, dass die Überwachung der Schrankenanlage notwendig sei, um eine reibungslose Abfertigung der zufahrtsberechtigten Personen zu gewährleisten. Mit der Schranke werde der Zugang zu einem aufgrund der innenstädtischen Lage stark frequentierten Bereich kontrolliert, der sowohl der Anlieferung von Gütern für Einzelhändler diene als 126 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht auch Zufahrtsstraße für Anwohner sei. Zudem sei die Schrankenanlage häufiges Ziel teils mutwilliger Beschädigungen, welche von dem Unternehmen durch Vorlage von Videosequenzen und Bilddokumentationen umfangreich belegt werden konnte. Die Zufahrtskontrolle betraf lediglich Kraftfahrzeuge; der überwachte Bereich war ansonsten jederzeit für Fußgänger und Radfahrer frei betret- bzw. befahrbar, so dass ein öffentlich zugänglicher Raum im Sinne des § 6b Abs. 1 Bundesdatenschutzgesetz (BDSG) gegeben war. Aufgrund der dokumentierten Schadensereignisse und einer hinreichenden Wahrscheinlichkeit, dass zukünftig Beschädigungen der Schrankenanlage drohen, war eine konkrete Gefährdungslage zu bejahen. Schutzwürdige Interessen Betroffener standen der Videoüberwachung auch nicht entgegen, da es sich bei dem überwachten Bereich um einen stark frequentierten Durchgangsbereich handelte, in welchem sich Betroffene allenfalls für einen kurzen Zeitraum aufhalten. Der verantwortlichen Stelle wurde die Anbringung von Schildern aufgegeben, die sowohl auf den Umstand der Videoüberwachung als auch auf die dafür verantwortliche Stelle hinweisen. Im Hinblick auf das Datensparsamkeitsgebot wurde zudem die Neuausrichtung der Kameras veranlasst, so dass der von den Kameras erfasste Bereich nunmehr auf das notwendige Minimum beschränkt ist. Im weiteren Verfahren bat das Unternehmen die Aufsichtsbehörde um Mitteilung, unter welchen Voraussetzungen die Videoüberwachung von Parkflächen zulässig ist. Eine Videoüberwachung von Zufahrtsschranken und Kassenautomaten kann, sofern eine Gefährdungslage durch Nachweis bereits eingetretener Schadensereignisse belegt oder das Drohen einer solchen objektiv nachvollziehbar begründet werden kann, datenschutzrechtlich zulässig sein. Eine anlasslose und permanente Überwachung der Parkflächen ist dahingegen regelmäßig als datenschutzrechtlich unzulässig zu bewerten. Laut den Ausführungen des Betreibers solle die Überwachung vorrangig dem Schutz der Fahrzeuge der Kunden vor Beeinträchtigungen dienen. Jedoch ist der Schutz von Rechtsgütern Dritter regelmäßig kein berechtigtes Interesse im Sinne des § 6b Abs. 1 Nr. 3 BDSG. Allenfalls denkbar wäre beispielsweise die Einrichtung bestimmter videoüberwachter Bereiche für Dauerparker, unter der Voraussetzung, dass diese ihr Einverständnis in die Überwachung der Stellplätze erklären. Nach bisherigem Kenntnisstand verfolgte das Unternehmen die projektierte Videoüberwachung der Stellflächen nicht weiter. Automatisierte Kennzeichenerfassung Ende Oktober 2014 wurde das Thema automatisierte Kennzeichenerfassung durch Parkhaus- und Campingplatzbetreiber von den Medien aufgegriffen. Unter automatisierter Kennzeichenerfassung sind Systeme der kameragestützten Erfassung von Kfz-Kennzeichen zu verstehen. Dabei wird das erfasste Kfz-Kennzeichen mit Datum und Uhrzeit der Ein- und Ausfahrt 127 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht verknüpft, um für die Dauer des Parkvorgangs gespeichert zu werden. Ziel ist es, eine sekundengenaue Abrechnung der Park- oder Aufenthaltsdauer zu ermöglichen und Betrugsversuche zu Lasten des Betreibers zu vermeiden oder Betrugsfällen beweissicher begegnen zu können. Fahrzeuginsassen oder sonstige Personen werden dabei regelmäßig nicht erfasst. Im Nachgang zu den Presseveröffentlichungen wurden Parkhaus- und Campingplatzbetreiber im Saarland um Auskunft gebeten, ob Verfahren der automatisierten Kennzeichenerfassung eingesetzt werden. Bis dato ist noch kein solches Unternehmen in Erscheinung getreten, welches ein derartiges Verfahren im Saarland betreibt. Im Rahmen dieser Überprüfung wurden auch Unternehmen befragt, die Parkraum im Saarland bewirtschaften ohne ihren Sitz im Saarland zu haben. Eine einzelfallbezogene datenschutzrechtliche Bewertung dieses Sachverhalts ist durch das Datenschutzzentrum bisher nicht erfolgt. Abhängig von der Ausgestaltung des Verfahrens - Aufzeichnen einer Videosequenz oder einer Einzelbildaufnahme - kann rechtliche Grundlage für den Umgang mit Kundendaten von Kurzzeitparkenden § 6b BDSG oder § 28 BDSG sein. Für Dauerparkendende wiederum ist als Legitimationsgrundlage allenfalls eine informierte Einwilligung des betroffenen Fahrzeughalters im Sinne des § 4 Abs. 1 in Verbindung mit § 4a BDSG heranzuziehen. Fazit Eine Videoüberwachung von Parkflächen ist ohne Einwilligung der Betroffenen regelmäßig datenschutzrechtlich unzulässig. Die Videoüberwachung von Schrankenanlagen und Kassenautomaten kann beim Vorliegen einer Gefährdungslage datenschutzrechtlich zulässig erfolgen. Jedoch sind dabei durch die überwachende Stelle alle im Zusammenhang mit der Videoüberwachung notwendigen Maßnahmen und rechtlichen Erfordernisse - wie beispielsweise die Anbringung eines Hinweisschilds im Sinne des § 6b Abs. 2 BDSG – umzusetzen. Eine automatisierte Kennzeichenerfassung kann unter Berücksichtigung der spezifischen Gegebenheiten des Einzelfalls als datenschutzrechtlich zulässig erachtet werden. 19.11 Wildkameras Der Wald ist ein Bereich, welcher der Erholung der Menschen dient und einen unersetzbaren Lebensraum für Pflanzen und Tiere bietet. Diesen gilt es, von äußeren Einflüssen möglichst frei zu halten. Die moderne Überwachungstechnik hat nunmehr auch Einzug in diesen Bereich gehalten. Jäger setzen – gerade auch im Bereich von Kirrungen - vermehrt auf den Einsatz von Tierbeobachtungskameras, was einerseits auf den eklatanten Preisverfall entsprechender Geräte zurückzuführen ist, andererseits im Gegensatz zur Beobachtung vor Ort eine enorme Zeitersparnis mit sich bringt. 128 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Grundsätzlich geregelt ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) und die Verarbeitung und Nutzung der durch eine solche Videoüberwachung erhobenen Daten in § 6b Bundesdatenschutzgesetz (BDSG). Bei Waldgebieten handelt es sich um einen öffentlich zugänglichen Raum i. S. d. Bundesdatenschutzgesetzes (BDSG), da gemäß § 25 des Waldgesetzes für das Saarland (LWaldG) das Betreten des Waldes zum Zweck der naturverträglichen Erholung jedermann gestattet ist. Von Seiten der Jägerschaft wird in Bezug auf Kirrungen unter Verweis auf das Saarländische Jagdgesetz (SJG)22 hingegen die Ansicht vertreten, dass diese keine öffentlich zugänglichen Bereiche im Sinne des BDSG seien, da es sich hierbei um mit einem Betretungsverbot behaftete besondere jagdliche Einrichtungen handele. Kirrungen als nicht öffentlich zugängliche Bereiche zu qualifizieren, vermag indes nicht zu überzeugen, da es regelmäßig an der Erkennbarkeit des Betretungsverbotes für den Waldbesucher fehlt. Sollen Teile des öffentlich zugänglichen Waldgebietes nicht öffentlich zugänglich sein, so ist erforderlich, dass die Ausdehnung dieses Bereichs in Breite, Länge und Höhe für den Waldbesucher erkennbar wird. Nicht die Kontrollbefugnis des Berechtigten ist maßgeblich, sondern vielmehr dessen nach außen sichtbar gemachter Wille, den Zutritt zu beschränken und diesen Bereich klar als nicht öffentlich zugänglich zu kennzeichnen, etwa durch bauliche Abgrenzungen oder durch Beschilderungen; hieran fehlt es bei Kirrungen regelmäßig. Eine Videoüberwachung nach § 6b Absatz 1 BDSG kann zulässig sein zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke. Der Zweck der Videoüberwachung muss vor Inbetriebnahme bei der verantwortlichen Stelle dokumentiert werden und diese Dokumentation der Aufsichtsbehörde nachgewiesen werden können. Voraussetzung hierbei ist, dass die Videoüberwachung erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Dem Persönlichkeitsrecht des Betroffenen, z. B. eines Spaziergängers oder Wanderers, der von der Kamera erfasst wird, ist in diesem Zusammenhang ein hoher Stellenwert einzuräumen. Da der Wald ein Bereich ist, der der Erholung des Menschen dient und in dem man sich unbeobachtet bewegen können sollte, sind Wildkameras daher in der Regel unzulässig. Der Einsatz einer Wildkamera kann lediglich dann erforderlich sein, wenn es, um das berechtigte Interesse verfolgen zu können, keine objektiv zumutbare Alternative gibt. Da dieses Erforderlichkeitsgebot sowohl in räumlicher als auch in zeitlicher Hinsicht gilt, ist die Überwachung auf einen für den Beobachtungszusammenhang erforderlichen Zeitraum zu beschränken. Im Rahmen der Interessenabwägung ist zu berücksichtigen, dass die Intensität des Eingriffs in das informationelle Selbstbestimmungsrecht der Betroffenen auch davon abhängt, wie wahrscheinlich es ist, dass diese überhaupt zum Objekt der Überwachung werden. In diesem Zusammenhang spielt u. a. eine entscheidende Rolle, in welcher Entfernung eine Kamera zu einem Waldweg angebracht ist und ob die Kame22 Insbesondere § 23 Abs. 3 SJG, wonach das Betreten besonderer jagdlicher Einrichtungen nur mit Erlaubnis des Grundeigentümers oder des Jagdausübungsberechtigten zulässig ist. 129 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht ra beispielsweise durch eine schräge Anbringung nur den Nahbereich erfasst. Auch ist auf den Umstand der Videoüberwachung im Sinne des § 6b Abs. 2 BDSG durch geeignete Maßnahmen hinzuweisen. Dazu gehört, dass Anlagenbetreiber unter Angabe von Namen und Anschrift darüber informieren müssen, durch wen und in welchen Waldstücken (z.B. Reviernummer und –bezeichnung) Tierbeobachtungskameras eingesetzt werden. Dies ist zweimal jährlich ortsüblich (Amts- oder Gemeindeblatt) bekanntzugeben und zusätzlich durch entsprechende Piktogramme an den Wanderkarten in den betroffenen Waldarealen kenntlich zu machen. Alternativ besteht die Möglichkeit, durch gut sichtbare Hinweisschilder in der unmittelbaren Umgebung von Tierbeobachtungskameras auf diese hinzuweisen. Da Videoüberwachungen mittels Digitaltechnik gemäß § 4d BDSG der Meldepflicht unterliegen, hat das Unabhängige Datenschutzzentrum ein Formular für die Meldung von Tierbeobachtungskameras erstellt, das auf der Internetseite der Aufsichtsbehörde zum Abruf bereit steht. Im Berichtszeitraum sind der Aufsichtsbehörde in etwa 50 Wildkameras gemeldet worden. Es ist anzunehmen, dass die Anzahl der tatsächlich sich im Einsatz befindlichen Anlagen jedoch um ein Vielfaches höher ist. Das Unabhängige Datenschutzzentrum behält sich vor, bei Zuwiderhandlungen aufsichtsbehördliche Maßnahmen einzuleiten. 130 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 20 Handel und Gewerbe 20.1 Aufsichtsbehördliche Anordnung der Bestellung eines Beauftragten für den Datenschutz Durch mehrere Eingaben im Berichtszeitraum wurde das Datenschutzzentrum auf den Betreiber eines webbasierten Firmenverzeichnisses aufmerksam. Tenor der Eingaben war, dass der Betreiber auf Löschungs- oder Änderungsersuchen der Petenten nicht reagierte. So begehrten Petenten die Löschung von veralteten Verzeichniseinträgen, da die dort aufgeführten Unternehmen nicht mehr existierten und die angegebenen Telefonnummern zwischenzeitlich an Privatpersonen vergeben waren. Diese erhielten dann an das frühere Unternehmen gerichtete telefonische Anfragen. Auch waren einige Gewerbetreibende, deren private und geschäftliche Adressen und Kontaktdaten übereinstimmten, mit der Veröffentlichung ihrer Kontaktdaten im Internet nicht einverstanden. In seiner Stellungnahme teilte der Betreiber der Webseite mit, dass sich eine zeitnahe Reaktion auf die große Anzahl an Auskunftsersuchen sowie Änderungs- und Löschungsbegehren, die er tagtäglich erhalte, aufgrund der wenigen Mitarbeiter seines Unternehmens schwierig gestalte, aber eine dahingehende Optimierung der Geschäftsprozesse erfolgen werde. Weiterhin teilte der Betreiber mit, dass er seiner Ansicht nach keine personenbezogenen Daten erhebe oder verarbeite, da über die Webseite ausschließlich Adressen und Kontaktdaten von Unternehmen recherchiert werden können. Im Übrigen sei ein Beauftragter für den Datenschutz im Sinne des § 4f Bundesdatenschutzgesetz (BDSG) für das Unternehmen nicht bestellt worden. Entgegen dessen Auffassung wurden durch den Betreiber im Rahmen des Betriebs der Webseite personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG erhoben und verarbeitet. § 3 Abs. 1 BDSG Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Zielsetzung des BDSG ist zwar ausdrücklich der Schutz des informationellen Selbstbestimmungsrechts natürlicher Personen, jedoch können bei einer Einzelfirma oder bei einem Einzelkaufmann gewerbliche Informationen und personenbezogene Daten des Inhabers deckungsgleich sein. Darüber hinaus können beispielsweise auch von dem Na- 131 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht men einer „Ein-Mann-GmbH“ Rückschlüsse auf den dahinter stehenden Gesellschafter gezogen werden.23 Somit war davon auszugehen, dass eine unbestimmte Anzahl der insgesamt im Rahmen des Betriebs der Webseite erhobenen und verarbeiteten Daten zwangsläufig als personenbezogene Daten anzusehen waren. Für die Fragestellung, ob das BDSG in diesem Zusammenhang Anwendung findet, ist mithin nicht entscheidend wie groß der Anteil personenbezogener Daten an der Gesamtmenge der Firmendaten ist; ausschlaggebend für die Bewertung ist allein, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden. Die im Rahmen des Betriebs der Webseite erfolgende geschäftsmäßige Erhebung und Speicherung von Daten zum Zweck der Übermittlung war nach § 29 Abs. 1 BDSG grundsätzlich datenschutzrechtlich nicht zu beanstanden, jedoch ergibt sich aus dem geschäftsmäßigen Umgang mit personenbezogenen Daten nach § 29 BDSG auch die Verpflichtung, das Verfahren der automatisierten Verarbeitung personenbezogener Daten nach § 4d Abs. 1 in Verbindung mit Abs. 4 Nr. 1 BDSG der Aufsichtsbehörde zu melden und für das Unternehmen nach § 4f Abs. 1 Satz 6 BDSG einen Beauftragten für den Datenschutz zu bestellen. § 4d Abs. 1 bis 4 BDSG (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung, 2. zum Zweck der anonymisierten Übermittlung oder 3. für Zwecke der Markt- oder Meinungsforschung 23 Beschluss des OVG Lüneburg vom 15.05.2009, 10 ME 385/08, Rdnr. 20 und Urteil des EuGH vom 9.11.2010, C-92/09- und C-93/09-. 132 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht gespeichert werden. § 4f Abs. 1 Satz 6 BDSG Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. Trotz entsprechender Aufforderung wurde von der verantwortlichen Stelle weder das Verfahren im Sinne der Vorschrift gemeldet noch die Bestellung eines Beauftragten für den Datenschutz nachgewiesen, so dass schließlich gegenüber dem Betreiber der Webseite eine Anordnung auf Grundlage des § 38 Abs. 5 Satz 1 BDSG erlassen wurde. § 38 Abs. 5 Satz 1 BDSG Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Nichtbestellung eines betrieblichen Beauftragten für den Datenschutz verstößt nicht nur gegen die sich aus § 4f Abs. 1 Satz 6 BDSG ergebende gesetzliche Pflicht, sondern stellt auch einen organisatorischen Mangel im Sinne des § 9 BDSG dar. Der Begriff umfasst dabei auch personelle Maßnahmen. § 9 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Anordnung der Bestellung eines Datenschutzbeauftragten scheint für eine verantwortliche Stelle, die ohnehin lediglich einige wenige Mitarbeiter beschäftigt, im Hinblick auf den in Satz 2 der Vorschrift normierten Verhältnismäßigkeitsgrundsatz auf den ersten Blick unverhältnismäßig zu sein, jedoch spielen Faktoren wie die mit der Bestellung verbundenen Kosten, die Unternehmensgröße oder die Art der betroffenen Daten, mit denen umgegangen wird, bei der Betrachtung eben keine Rolle, wenn die Voraussetzungen des § 4f Abs. 1 Satz 6 BDSG für die Bestellung eines Datenschutzbeauftragten vorliegen. Der Betreiber der Webseite hat gegen die aufsichtsbehördliche Anordnung keinen Rechtsbehelf eingelegt, so dass der Bescheid bestands- 133 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht kräftig wurde. Erst nachdem ein Zwangsgeld fällig gestellt wurde, wurde seitens des Betreibers ein Beauftragter für den Datenschutz bestellt, welcher sodann auch das Verfahren im Sinne des § 4 Abs. 1 in Verbindung mit Abs. 4 BDSG meldete. Da sowohl die nicht erfolgte Meldung des Verfahrens als auch die nicht erfolgte Bestellung eines Beauftragten für den Datenschutz sowie die Zuwiderhandlung gegen eine vollziehbare Anordnung nach § 38 Abs. 5 Satz 1 BDSG Bußgeldtatbestände darstellen, wurde auch die Bußgeldstelle des Datenschutzzentrums eingeschaltet. 20.2 Umgang mit Kundendaten in Franchisesystemen Vor dem Hintergrund des dem Datenschutzrecht innewohnenden Transparenzgebots sollte es eigentlich selbstverständlich sein, dass verantwortliche Stellen, die personenbezogene Daten von Kunden erheben und verarbeiten, die Betroffenen vollumfänglich über den jeweiligen Zweck des Datenumgangs und insbesondere eventuelle Empfänger der Daten informieren. Dass dieses Transparenzgebot mitunter nur unzureichend Beachtung findet, trat im Zusammenhang mit der datenschutzrechtlichen Bewertung des Umgangs mit Kundendaten durch verantwortliche Stellen eines Franchisenetzwerks zu Tage. Das deutsche Datenschutzrecht kennt kein Konzernprivileg. Insofern ist in einem Verbund von rechtlich selbstständigen Unternehmen jedes Einzelne als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten, unabhängig davon, dass in einem Konzernverbund Weisungsstrukturen und Abhängigkeiten institutionalisiert sind. Personenbezogene Daten, mit denen die einzelnen Konzernunternehmen umgehen, wie beispielsweise Daten von Kunden oder Mitarbeitern, dürfen nicht anlasslos in diesem Verbund zirkulieren; es bedarf vielmehr einer datenschutzrechtlichen Grundlage, die eine zweckspezifische Übermittlung von personenbezogenen Daten legitimiert. Dies gilt genauso für den Umgang mit personenbezogenen Daten in Vertriebssystemen wie Franchisenetzwerken. Franchisegeber und nehmer als rechtlich selbstständige Akteure sind für sich genommen verantwortliche Stellen im Sinne des § 3 Abs. 7 BDSG und bleiben im Verhältnis zueinander Dritte im Sinne des § 3 Abs. 8 Satz 2 BDSG. Jedoch steht aufgrund der asymmetrischen Verteilung struktureller Entscheidungskompetenzen in einem Franchisesystem vorrangig der Franchisegeber für die Herstellung datenschutzkonformer Zustände in der Verantwortung. Ein Franchiseverhältnis ist dadurch gekennzeichnet, dass der Franchisegeber im Rahmen der Zurverfügungstellung eines einheitlich gestalteten Geschäftskonzepts dem Franchisenehmer während der gesamten Dauer seiner unternehmerischen Tätigkeit vor allem hinsichtlich des vertriebenen Produkts bzw. der vertriebenen Dienstleistung, aber auch flankierend (z.B. in Bezug auf betriebswirtschaftliche, logistische oder marketingspezifische Aspekte) Beratung und Unterstützung zukommen lässt. Gleichzeitig behält sich der Systemgeber regelmäßig Kontroll- und Weisungsrechte sowie die Zahlung von fixen oder umsatzbasierten Entgelten vor. Durch einen einheitlich gestalteten Marktauftritt wird bei Kunden außerdem der Eindruck erzeugt, dass es sich bei den lokalen 134 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Franchisenehmern um Betriebsstätten bzw. Niederlassungen eines einzigen Unternehmens handelt. Im Franchisesystem ist ein umfangreicher Datenaustausch zwischen Systemgeber und –nehmer mitunter vitale Voraussetzung für das Funktionieren des Systems. Für die Erstellung betriebswirtschaftlicher Kennzahlen und Benchmarks oder die Abwicklung einer zentralen Warenbeschaffung sind jedoch regelmäßig keine personenbezogenen Daten von Kunden des Systemnehmers erforderlich. In Bezug auf qualitätssichernde Maßnahmen sowie Maßnahmen der externen Revision oder der Marktanalyse durch den Systemgeber wird eine Übermittlung von Daten, die keinen Personenbezug mehr aufweisen, üblicherweise ausreichend sein. Für spezifische Zwecke kann eine institutionalisierte Zurverfügungstellung von personenbezogenen Daten der Kunden jedoch zur Aufgabenwahrnehmung der beteiligten Akteure notwendig sein, beispielsweise wenn das Marketing und eine personalisierte Werbeansprache nur durch den Franchisegeber erfolgt oder dieser die Warenauslieferung zentral abwickelt. Hierbei gilt es das Datensparsamkeitsgebots zu beachten, so dass ausschließlich die Kundendaten zur Verfügung zu stellen sind, die für die Aufgabenwahrnehmung erforderlich sind. Daneben kann auch die Bereitstellung einer IT-Infrastruktur durch den Systemgeber denkbar sein. Im zugrundeliegenden Sachverhalt wurde den Franchisenehmern die Nutzung einer webbasierten Anwendung verpflichtend vorgegeben, mit deren Hilfe nahezu die Gesamtheit ihrer administrativen Prozesse abgebildet wird. Im Rahmen der vom Franchisegeber entwickelten und administrierten Anwendung wurde zwangsläufig mit Kundendaten der Franchisenehmer umgegangen; diese Kundendaten wurden zudem auf Servern des Franchisegebers gespeichert und von diesem zur Erstellung nicht personenbezogener betriebswirtschaftlicher Kennzahlen und zur Entgeltabrechnungskontrolle herangezogen. Im Übrigen wurden durch den Systemgeber keine Aufgaben zentral für alle Stellen des Netzwerks wahrgenommen, die eine Weitergabe von Kundendaten erforderlich gemacht hätten. Während die Systemnehmer aufgrund des mit dem Kunden bestehenden Vertragsverhältnisses dessen Daten nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG datenschutzrechtlich zulässig erheben und verarbeiten, bedurfte die Weitergabe von Kundendaten im Zusammenhang mit dem Einsatz der vorgeschriebenen Anwendung einer datenschutzrechtlichen Legitimationsgrundlage. Da die Kunden der Franchisenehmer in dem zugrundeliegenden Fall weder über die Datenübermittlung an den Franchisegeber informiert wurden, geschweige denn in diese eingewilligt hatten, war fraglich, auf welcher Grundlage diese Weitergabe zulässig erfolgt sein sollte. Der Systemgeber positionierte sich dahingehend, dass eine undifferenzierte Übermittlung von Kundendaten innerhalb des Franchisesystems grundsätzlich nicht zu beanstanden sei und die Kunden auch ohne weitere Hinweise die beteiligten Akteure des Systems ausmachen könnten. Im Übrigen wäre die Übermittlung durch die Franchisenehmer aber auch nach § 28 Abs. 1 Satz 1 Nr. 1 und 2 sowie nach § 28 Abs. 2 Satz 2 Nr. 2 Bst. a BDSG datenschutzrechtlich legitimiert. Jedoch wurde seitens 135 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht des Franchisegebers auch ausdrücklich darauf hingewiesen, dass neben der Erstellung nicht personenbezogener Kennzahlen und der Entgeltabrechnungskontrolle ausdrücklich keine Nutzung der auf den Servern gespeicherten Kundendaten erfolge und ein Zugriff auf die Daten somit nicht stattfinde. § 28 Abs. 1 Nr. 1 und 2 BDSG Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt […] § 28 Abs. 2 Nr. 2 a) BDSG Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig soweit es erforderlich ist, zur Wahrung berechtigter Interessen eines Dritten […] Diese Auffassung des Franchisegebers hielt einer näheren Prüfung nicht stand. Vor dem Hintergrund, dass eine personenbezogene Nutzung der im Rahmen der Anwendung auf dessen Servern gespeicherten Kundendaten ausdrücklich nicht erfolgen sollte, war deren Übermittlung an den Franchisegeber mithin nicht erforderlich im Sinne des § 28 BDSG. Daneben standen aufgrund der betroffenen Datenkategorien, des spezifischen Verwendungszusammenhangs und der fehlenden Transparenz gegenüber den betroffenen Kunden der Franchisenehmer schutzwürdige Interessen der Übermittlung entgegen. Um die zugrundeliegende Anwendung im Franchisesystem doch noch datenschutzkonform einsetzen zu können, bot sich folgender Maßnahmenkatalog an: Abschluss eines Vertrages über eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG mit dem Franchisenehmer als Auftraggeber und dem Franchisegeber als Auftragnehmer Die Franchisenehmer würden somit datenschutzrechtlich vollumfänglich verantwortlich für und verfügungsberechtigt über die personenbezogenen Daten ihrer Kunden bleiben. Jedoch gilt in diesem Zusammenhang zu beachten, dass der Franchisenehmer als Auftraggeber im Auftragsdatenverarbeitungsverhältnis den Auftragnehmer nach § 11 Abs. 2 Satz 1 BDSG auswählen kann. Dementsprechend würde beispielsweise eine über den Franchisevertrag erfolgende vertragsrechtliche Verpflichtung der Systemnehmer, den 136 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Systemgeber als Auftragsdatenverarbeiter auszuwählen, dem Regelungsgehalt des § 11 BDSG zuwiderlaufen. (Flankierende) Einholung einer informierten Einwilligung des Kunden im Sinne des § 4a BDSG Für den Fall, dass ein Franchisenehmer aus spezifischen Gründen mit dem Franchisegeber keinen Vertrag über eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG abzuschließen wünscht, kann die Übermittlung von Kundendaten über die Einholung einer informierten Einwilligung im Sinne des § 4a BDSG der betroffenen Kunden erfolgen. Dazu sind die Kunden unter anderem über die betroffenen Datenkategorien, die Identität des Empfängers und den Zweck der Übermittlung zu informieren. Hier gilt jedoch zu bedenken, dass die Abgabe der Einwilligung absolut freiwillig erfolgen muss und dementsprechend mit einer hohen Verweigerungsquote bzw. mit Widerrufen der abgegebenen Einwilligung zu rechnen ist. Übermittlung anonymisierter Daten für Zwecke des Franchisegebers Für den Fall, dass schließlich der Abschluss eines Auftragsdatenverarbeitungsvertrags von einem Franchisenehmer ausgeschlossen wird und eine Einwilligung des Kunden in die Übermittlung seiner Daten an den Franchisegeber nicht erteilt wird, bleibt als einzige Möglichkeit wiederum nur die Weitergabe anonymisierter Daten. Trotz anfänglichem Widerstand konnte sich der Systemgeber dem datenschutzrechtlichen Votum der Aufsichtsbehörde anschließen. Eine datenschutzkonforme Ausgestaltung des Franchisesystems ist zurzeit im Gange. Gleichzeitig wurde der Sachverhalt an die Bußgeldstelle des Datenschutzzentrums abgegeben, da durch die unzulässige Datenübermittlung ein Verstoß gegen § 43 Abs. 2 Nr. 1 BDSG im Raum stand. Das diesbezügliche Ordnungswidrigkeitenverfahren ist bis dato noch nicht abgeschlossen. 20.3 Fallstricke bei der Nutzung personenbezogener Daten für Werbezwecke Eine Petentin wandte sich im Berichtszeitraum an die Aufsichtsbehörde, da ihr von einem Fitnessstudio, dessen Angebot sich speziell an Senioren richtete, unverlangt ein Werbeschreiben zugesandt wurde. Weil sie in keiner Beziehung zu dem Fitnessstudio stand, adressierte sie an das Unternehmen ein Auskunftsersuchen nach § 34 Bundesdatenschutzgesetz (BDSG), um die Herkunft ihrer Adressdaten zu erfahren. § 34 Abs. 1 BDSG Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 137 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. Das Auskunftsersuchen der Petentin blieb allerdings unbeantwortet. Nach unserer Aufforderung zur Stellungnahme machte der Bevollmächtigte des Unternehmens die nebulöse Angabe, dass die Adressdaten der Petentin aus öffentlich zugänglichen Verzeichnissen entnommen worden wären und ihr Auskunftsersuchen nach § 34 BDSG bei der verantwortlichen Stelle nicht zugegangen sei. Die Petentin erwiderte auf diese Stellungnahme des Unternehmens, dass die Entnahme ihrer Adressdaten aus einem Rufnummernverzeichnis ausgeschlossen sei, da sie bei ihrem Telekommunikationsanbieter keine Veröffentlichung der Daten im Sinne des § 104 Telekommunikationsgesetz (TKG) beantragt habe. § 104 TKG Teilnehmer können mit ihrem Namen, ihrer Anschrift und zusätzlichen Angaben wie Beruf, Branche und Art des Anschlusses in öffentliche gedruckte oder elektronische Verzeichnisse eingetragen werden, soweit sie dies beantragen. Dabei können die Teilnehmer bestimmen, welche Angaben in den Verzeichnissen veröffentlicht werden sollen. Auf Verlangen des Teilnehmers dürfen Mitbenutzer eingetragen werden, soweit diese damit einverstanden sind. Zudem sei in dem Werbeanschreiben des Fitnessstudios ihr zweiter Vorname genannt, weshalb sie davon ausgehe, dass die Daten von der Meldebehörde ihres Wohnortes stammten. Nach Aufforderung zur Konkretisierung der ersten Stellungnahme bestätigte der Bevollmächtigte des Studiobetreibers, dass die Angaben von der Meldebehörde übermittelt worden seien. Die Meldebehörde teilte wiederum auf Nachfrage mit, dass der Studiobetreiber – vor dem Hintergrund der Zielgruppe des Fitnessstudios um Übermittlung von Adressbeständen der Einwohner zwischen dem 55. und 80. Lebensjahr gebeten habe, mit dem Ziel, diesen ein Werbeschreiben postalisch zukommen zu lassen. Diesem Ersuchen sei entsprochen worden, so dass von der Meldebehörde ein Bestand von 2.000 Namen und Anschriften an das Unternehmen übermittelt worden sei. Auch eine Nachbargemeinde übermittelte auf Nachfrage des Be- 138 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht treibers Namen und Anschriften von 1.200 Bürgern an diesen. Die Übermittlung des Geburtsdatums oder weiterer Daten sei ausdrücklich nicht erfolgt. Fraglich war in diesem Zusammenhang somit, inwiefern die Erhebung und Nutzung der personenbezogenen Daten der Petentin für Werbezwecke durch den Studiobetreiber datenschutzrechtlich zulässig erfolgt ist. Da eine Einwilligung in die Erhebung und Nutzung ihrer personenbezogenen Daten für Werbezwecke außer Rede stand, könnte diese aber möglicherweise nach § 28 Abs. 3 Satz 2 Nr. 1 BDSG zulässig erfolgt sein. § 28 Abs. 3 Satz 2 Nr. 1 BDSG Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat […] Dies bedeutet, dass Vorname, Name und Anschrift als Listendaten im Sinne des § 28 Abs. 3 Satz 2 BDSG für eine Werbeansprache der Einwohner einer Gemeinde, die das 55. Lebensjahr vollendet haben, durch den Studiobetreiber datenschutzrechtlich zulässig genutzt werden dürfen, wenn die Daten aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen stammen. Einschränkend hierzu gilt, dass nach § 28 Abs. 3 Satz 6 BDSG keine schutzwürdigen Interessen der Betroffenen entgegenstehen dürfen. Die Frage, ob das Melderegister als öffentliches Register ein allgemein zugängliches Verzeichnis im Sinne der Vorschrift darstellt, wird in der datenschutzrechtlichen Kommentarliteratur unterschiedlich beantwortet. Jedoch lassen selbst die Stimmen, die die Meinung vertreten, dass das Melderegister ein allgemein zugängliches Verzeichnis im Sinne des § 28 Abs. 3 Satz 2 Nr. 1 BDSG darstellt, dies nur für eine voraussetzungslose einfache Melderegisterauskunft nach § 21 Abs. 1 Melderechtsrahmengesetz (MRRG) bzw. im konkreten Fall nach § 34 Abs. 1 Meldegesetz (MG) gelten. Entgegen einer einfachen Melderegisterauskunft, die ohne Geltendmachung eines berechtigten Interesses erteilt werden kann und ausschließlich Vor- und Nachnamen, Doktorgrad sowie die Anschrift des Betroffenen umfasst, ist der Informationsgehalt von nach Altersgesichtspunkten vorsortierten Adressdaten eben ungleich größer. Im Hinblick auf den Regelungsgehalt des zum 1. November 2015 in Kraft tretenden § 44 Abs. 3 Nr. 2 Bundesmeldegesetz (BMG), wird zu- 139 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht dem der Wille des Bundesgesetzgebers erkennbar, dass das Melderegister eben keine voraussetzungslose Bezugsquelle für Adressdaten für werbewillige Unternehmen sein soll. Entsprechend dieser Vorschrift ist eine Erhebung von Adressdaten durch private Stellen und ihre anschließende Nutzung für Werbezwecke von der Einwilligung des Betroffenen abhängig zu machen. § 44 Abs. 3 BMG Die Erteilung einer einfachen Melderegisterauskunft ist nur zulässig, wenn 1. die Identität der Person, über die eine Auskunft begehrt wird, auf Grund der in der Anfrage mitgeteilten Angaben über den Familiennamen, den früheren Namen, die Vornamen, das Geburtsdatum, das Geschlecht oder eine Anschrift eindeutig festgestellt werden kann, und 2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke a) der Werbung oder b) des Adresshandels, es sei denn, die betroffene Person hat in die Übermittlung für jeweils diesen Zweck ausdrücklich eingewilligt. Die Erhebung von Adressdaten mit dem Zweck der Werbeansprache der Betroffenen war darüber hinaus auch vor dem Hintergrund als unzulässig zu bewerten, als schutzwürdige Interessen der Betroffenen einer späteren Nutzung für Werbezwecke im Sinne des § 28 Abs. 3 Satz 6 BDSG entgegenstanden. Wenn im Zusammenhang mit der Zusammenstellung der Adressdaten Einzelheiten zu Tage treten, die über den Informationsgehalt der reinen Listendaten hinausgehen, können schutzwürdige Interessen der weiteren Verwendung entgegenstehen. Da sich gerade im Hinblick auf die oben geschilderte alters- und wohnortbezogene Eingrenzung von Adressdaten und Zusatzwissen über lokale Gegebenheiten beispielsweise auf die Unterbringung eines Betroffenen in einem Alters- und Pflegeheim schließen ließ, standen eben schutzwürdige Interessen der Betroffenen der Nutzung der Adressdaten entgegen. Dies wurde der verantwortlichen Stelle kommuniziert mit der Aufforderung, die somit datenschutzrechtlich unzulässig erhobenen Adressdaten zu löschen. Darüber hinaus wurde ein Bußgeldverfahren eingeleitet, da das Werbeschreiben keinen Hinweis auf das Widerspruchsrecht nach § 28 Abs. 4 Satz 1 BDSG enthielt und das Fehlen eines solchen Hinweises nach § 43 Abs. 1 Nr. 3 BDSG einen Bußgeldtatbestand darstellt. 140 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht § 28 Abs. 4 Satz 1 und 2 BDSG Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten […]. 20.4 Abfotografieren von Schülerfahrausweisen Das unangekündigte Abfotografieren des Schülerfahrausweises ihrer Tochter führte dazu, dass sich eine Petentin im Berichtszeitraum an die Aufsichtsbehörde wandte. Beim Einsteigen in den Schulbus sei die Tochter ohne weitere Information dazu angehalten worden, ihren Fahrausweis abfotografieren zu lassen. Auf dem Fahrausweis war neben dem Lichtbild des Ausweisinhabers und dessen Name noch eine Abo- bzw. Zeitkartennummer zu finden. Eine spätere Rückfrage der Mutter beim Busunternehmen hatte zum Ergebnis, dass Zweck der Maßnahme die Überprüfung der fahrgastbezogenen Auslastung bestimmter Buslinien im Ausbildungsverkehr sei. Dazu sei ein Verkehrsgutachter von dem Busunternehmen beauftragt worden, dessen Mitarbeiter die Bilddokumentationen anfertigten. Laut Stellungnahme des Busunternehmens wurde die bereits der Petentin kommunizierte Zwecksetzung bestätigt. Anlass dafür sei, dass die Verteilung der nach § 45a Personenbeförderungsgesetz gewährten Ausgleichsmittel mit der tatsächlichen Beförderungsleistung im Ausbildungsverkehr in Relation gesetzt werden soll, um gegebenenfalls eine für das Unternehmen günstigere Verteilungsquote zu erreichen. Neben dem von den Mitarbeitern des beauftragten Verkehrsgutachters erhobenen Bild des Fahrausweises würde auch die Uhrzeit des Einstiegs in den Bus dokumentiert. Relevant für die bildgestützte Fahrgasterhebung seien jedoch ausschließlich Fahrkartenart und Abo- bzw. Zeitkartenummer; Bild und Name des Kunden seien in diesem Zusammenhang lediglich „Beifang“ gewesen. Nach abgeschlossener Auswertung der Bilddaten hinsichtlich der relevanten Daten wäre dem Busunternehmen durch den Verkehrsgutachter die linienbezogene Auslastung im Ausbildungsverkehr dargestellt worden. Eine Bilddokumentation sei aufgrund der ungünstigen Umgebungsbedingungen (häufiger Fahrgastwechsel und zeitweise kurze Verweildauer der Fahrgäste im Fahrzeug) zielführender als ein einfaches Notieren der relevanten Daten, da durch die im Vergleich dazu kürzere Dauer des Erhebungsvorgangs eine größere Genauigkeit und geringere Fehlerquote erreicht würde. Unabhängig davon, dass unter Beachtung des Datensparsamkeitsgebots eine Erhebung und Speicherung der in diesem Zusammenhang nicht erforderlichen Daten, wie Name und Bild des Ausweisinhabers, 141 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht datenschutzrechtlich nicht zulässig erfolgte, hätte eine Datenerhebung und -verarbeitung der Fahrkartenart und der Abo- bzw. Zeitkartennummer in diesem Kontext durchaus im berechtigten Interesse des Busunternehmens im Sinne des § 28 Abs. 1 Satz 1 Nr. 2 Bundesdatenschutzgesetz (BDSG) erfolgen können. Jedoch wurden von dem verantwortlichen Busunternehmen verschiedene datenschutzrechtliche Vorgaben und Erfordernisse nicht beachtet. Da der Datenumgang durch den Verkehrsgutachter im Auftrag und für Zwecke des Busunternehmens erfolgte, war dieses verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG und die Ausführung des Projekts durch den Auftragnehmer rechtlich als Auftragsdatenverarbeitung im Sinne des § 11 BDSG abzubilden. Im Rahmen einer Auftragsdatenverarbeitung sind nach § 11 Abs. 2 Satz 2 BDSG spezifische Erfordernisse zu berücksichtigen, die in einem schriftlichen Vertrag festzulegen sind. Eine schriftliche Vereinbarung im Sinne der Vorschrift wurde jedoch nicht abgeschlossen. Da es sich hierbei auch um eine automatisierte Verarbeitung von personenbezogenen Daten handelte, war zudem ein Verfahrensverzeichnis nach § 4e BDSG zu erstellen. Ein solches existierte aber auch nicht. Weiterhin wurde der dem Datenschutzrecht immanente Grundsatz der Transparenz nicht beachtet. Nach § 4 Abs. 3 BDSG sind Betroffene unter anderem bereits zum Zeitpunkt der Datenerhebung über die Identität der verantwortlichen Stelle, die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und ggf. die Kategorien von Empfängern zu unterrichten. Da eine einzelfallbezogene Information der betroffenen Kunden vor Beginn der Maßnahme hier ausgeschlossen war, hätte die notwendige Transparenz beispielsweise dergestalt hergestellt werden können, dass vorab ein Hinweis auf die geplante Durchführung der Maßnahme in einem lokalen Printmedium ergangen und zum Zeitpunkt der Datenerhebung im Bus ein Hinweiszettel mit den erforderlichen Informationen ausgehändigt worden wäre. Das verantwortliche Busunternehmen teilte im Laufe des Verfahrens mit, dass der Auftrag an den Verkehrsgutachter noch vor Abschluss des Projekts storniert und die bereits erhobenen personenbezogenen Daten beim Auftragnehmer durch diesen gelöscht wurden. 142 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 21 Auskunfteien 21.1 Allgemeines Anfragerecht bei Auskunfteien Im Berichtszeitraum wandte sich ein Petent an die Aufsichtsbehörde mit dem Vorwurf, eine Auskunftei habe in ungerechtfertigter Weise Auskunft über seine Person erteilt. Unter einer Auskunftei ist ein privatwirtschaftliches Unternehmen zu verstehen, welches sich zum Zweck gesetzt hat, wirtschaftsrelevante Daten über Privatpersonen und Unternehmen an ihre Geschäftspartner (auf Anfrage) mitzuteilen. Zu diesen Daten bei Privatpersonen gehören insbesondere Kontaktdaten (Name, Vorname, postalische Anschrift, Geburtsdatum, etc.), Familienstand, Tätigkeit, Beurteilung der Finanzlage, Immobilienbesitz, Beteiligungen, Bankverbindungen, welche personenbezogene Daten darstellen. Im Rahmen einer Selbstauskunft habe der Petent festgestellt, dass eine Kreditanstalt des öffentlichen Rechts, mit der der Petent vor einiger Zeit ein zwischenzeitlich beendetes Geschäftsverhältnis unterhielt, über seine Person eine Anfrage bei der Auskunftei gestellt habe. Der Auskunftei wurde die Vertragsbeendigung seinerzeit auf ausdrücklichen Wunsch des Petenten auch mitgeteilt. Aus Sicht des Petenten bestand insofern keine Berechtigung der Kreditanstalt diese Anfrage durchzuführen, zumal parallel hierzu zusätzlich ein Scorewert ermittelt und an die Bank als Antragsteller übermittelt worden sei. Da er weder in einer aktuellen Geschäftsbeziehung mit der Bank stehe noch seine ausdrückliche Einwilligung in die Abfrage erteilt habe, bat er die Aufsichtsbehörde um datenschutzrechtliche Überprüfung der Angelegenheit. Bei der Bank handelte es sich um eine öffentliche Stelle i. S. d. § 2 Abs. 1 SDSG. Da sie als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt, gelten für sie gemäß § 2 Abs. 2 SDSG nur der zweite Teil sowie § 7 Abs. 1 und §§ 9, 30 bis 32 SDSG. Mit Ausnahme der Vorschriften über die Aufsichtsbehörde sind im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes (BDSG) einschließlich der Straf- und Bußgeldvorschriften anwendbar. Die Zuständigkeit der Aufsichtsbehörde war somit gegeben. Vor diesem Hintergrund wurde die Kreditanstalt zur umfassenden Stellungnahme aufgefordert, inwiefern durch diese eine Anfrage bezüglich eines ehemaligen Kunden eingereicht wurde und aufgrund welchen Tatbestandes bzw. welcher Rechtsgrundlage diese Anfrage getätigt wurde. Der Datenschutzbeauftragte der Kreditanstalt teilte mit, dass der Auskunft ein Schreiben des ehemaligen Bankkunden vorausging. Da eine Rückantwort aufgrund der nicht zu entziffernden Anschrift ausgeschlossen war, wurde durch einen Mitarbeiter des Unternehmens eine Auskunft eingeholt, um die aktuelle Anschrift des Petenten zu ermitteln. Man habe im Interesse des Kunden handeln wollen, ohne sich über die Sensibilität bzw. datenschutzrechtliche Zulässigkeit des Abrufs im Kla- 143 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht ren zu sein. Im Rahmen des Tagesgeschäfts sei dem Mitarbeiter dieser Fehler unterlaufen, was aus Unternehmenssicht jedoch einen Einzelfall darstellt. Der Datenschutzbeauftragte habe dies zum Anlass genommen, den einzelnen Mitarbeiter als auch den gesamten Fachbereich auf die rechtliche Situation hinzuweisen und entsprechend zu sensibilisieren. Grundsätzlich ist die Übermittlung personenbezogener Daten durch die Auskunftei dann zulässig, wenn ein Vertragspartner der Auskunftei ein berechtigtes Interesse glaubhaft darlegen kann und im Gegenzug kein Grund zu der Annahme besteht, dass ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung besteht (§ 29 Abs. 1 Nr. 1 BDSG). Ein berechtigtes Interesse ist dann anzunehmen, wenn der Vertragspartner durch eine bevorstehende Entscheidung ein finanzielles Risiko eingehen würde (z. B. Warenversand auf Rechnung, Kreditgewährung, etc.). Eine Bonitätsanfrage an die Auskunftei ist in solchen Fällen zulässig. Nicht zulässig hingegen ist die Auskunft für andere Zwecke, z. B. wenn ein Vertragspartner wie geschildert die Anschrift eines Kunden ermitteln möchte, um mit diesem in Schriftverkehr zu treten. In solchen Fällen ist anzunehmen, dass das Interesse des Betroffenen an der Geheimhaltung seiner personenbezogenen (wirtschaftsrelevanten) Daten das Informationsinteresse des Vertragspartners überwiegt. § 29 Abs. 2 S. 5 BDSG verpflichtet die Auskunftei zur stichprobenhaften Überprüfung des berechtigten Interesses der Antragsteller. Eine lückenlose Kontrolle findet dabei jedoch nicht statt. Grundsätzlich hat aber auch jeder das Recht, sich selbst über die zu seiner Person bei einer Auskunftei gespeicherten Daten zu informieren. Von Gesetzes wegen ist jede Auskunftei dazu verpflichtet, einmal im Jahr Verbrauchern eine kostenlose Auskunft über gespeicherte Daten zu erteilen (§ 34 Abs. 8 BDSG). Da die Datenbestände bei Auskunfteien erfahrungsgemäß nicht zwingend aktuell und fehlerfrei sind, haben Betroffene nach § 35 BDSG einen Anspruch auf Berichtigung, Löschung oder Sperrung von unrichtigen Daten. 144 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 22 Umwelt 22.1 Katasterverwaltung: Ablösung von Altverfahren durch ALKIS Das Landesamt für Vermessung, Geoinformation und Landentwicklung verarbeitet die Daten des Liegenschaftskatasters mit einem Verfahren, dessen grundlegende Entwicklung bereits mehr als 40 Jahre zurück liegt. Es handelt sich dabei um eine großrechnerbasierte Eigenentwicklung, die in Zusammenarbeit mit der ZDV-Saar ständig aktualisiert und modernisiert wurde. Da jedoch die Großrechnertechnologie in absehbarer Zeit bei der ZDV-Saar nicht mehr vorgehalten wird, war es unumgänglich ein neues Verfahren einzuführen. Bereits 2006 wurde beschlossen, die Liegenschaftsverwaltung neu zu strukturieren. Dabei fiel auch der Entschluss, sich dem bundesweit eingesetzten AAA-Modell24 anzuschließen. Die Daten des Liegenschaftskatasters werden mit der Komponente ALKIS (Amtliches Liegenschaftskatasterinformationssystem) verarbeitet. Da in diesem Teil des AAAModells personenbezogene Daten verarbeitet werden, wurde das Datenschutzzentrum gemäß § 7 Abs. 2 Saarländisches Datenschutzgesetz (SDSG) Ende 2013 über die Verfahrensumstellung informiert. 24 AAA-(AFIS-ALKIS-ATKIS-)Modell Die Vermessungs- und Katasterverwaltungen der Bundesländer haben die Aufgabe, raumbezogene Basisdaten (Geobasisdaten) für Verwaltung, Wirtschaft und private Nutzer zu liefern, und zwar zunehmend in digitaler Form. Geobasisdaten werden derzeit in folgenden Datenbeständen bereitgestellt: Das Amtliche Topographisch-Kartographische Informationssystem (ATKIS®) beschreibt die Oberfläche der Erde mit Digitalen Landschafts- und Geländemodellen. Die Automatisierte Liegenschaftskarte ALK und das Automatisierte Liegenschaftsbuch ALB enthalten die Daten des Liegenschaftskatasters. Diese beiden Informationssysteme werden zukünftig integriert im Amtlichen Liegenschaftskatasterinformationssystem (ALKIS®) geführt. Darüber hinaus wurde eine Harmonisierung mit ATKIS® vorgenommen. Da die Festpunkte weder originär zur ALK noch zu ATKIS® gehören, wird deren Modellierung nunmehr in einem eigenen Amtlichen Festpunktinformationssystem (AFIS®) durch einen eigenen Objektartenkatalog vorgenommen. Überregionale Nutzer und GIS-Industrie fordern im Hinblick auf die Inhalte und die Strukturierung der Geobasisdaten sowie aus Gründen der Wirtschaftlichkeit die Festlegung eines bundesweit einheitlichen Grunddatenbestandes. Das AAA®-Modell soll dazu dienen, die Grunddatenbestände von ATKIS®, ALKIS® und AFIS® zu einem Grunddatenbestand der Geodaten des amtlichen Vermessungswesens zusammenzuführen. Unter der Überschrift Dokumentation zur Modellierung der Geoinformationen des amtlichen Vermessungswesens werden die AdVProjekte AFIS®, ALKIS® und ATKIS® mit ihren länderübergreifend festgelegten Eigenschaften in durchgängiger Form gemeinsam beschrieben und miteinander in Beziehung gebracht. 145 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Umstellung berührt im Wesentlichen die technischen Komponenten (Umstellung von Großrechner auf Server), die Datenhaltung (von ADABAS auf Oracle) und die Verarbeitungsprogramme selbst. Am Umfang und Inhalt der Daten wird es keine Änderungen geben. Die Überprüfung in technisch-organisatorischer Sicht ergab keine Beanstandungen. Auch die Verarbeitung der Daten erfolgt wie im bisherigen Umfang, sodass es keiner erneuten Prüfung bedarf. Der Online-Zugriff auf die Daten des Liegenschaftskatasters im Digitalen Rissarchiv erfolgt in Zukunft über die neue Anwendung DIRI-Web. Über diese Anwendung können zugelassene Nutzer, z. B. öffentlich bestellte Vermessungsingenieure zur Bearbeitung ihrer Aufträge alle, die Lage von Flurstückgrenzen bestimmenden Vermessungsinformationen online recherchieren und abrufen. Diese Abrufe werden anhand einer Vorgangsnummer erfasst und protokolliert. Im neuen Verfahren ALKIS wird der Kreis der Zugriffsberechtigten, der im Saarländischen Vermessungs- und Katastergesetz in Verbindung mit der Katasterinhalts- und Datenübermittlungsverordnung gesetzlich festgelegt ist, nicht erweitert. Personenbezogene Daten werden nur in dem Umfang zur Verfügung gestellt, wie die Kenntnis der Daten zur Erfüllung der Aufgaben der Zugriffsberechtigten erforderlich ist. Die Migration der Datenbestände und der Umstieg auf ALKIS ist für das 1. Quartal 2015 geplant und wird von uns datenschutzrechtlich begleitet. 146 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 23 Versicherungen 23.1 Einwilligungs- und Schweigepflichtentbindung in der Versicherungswirtschaft Die obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich haben in Zusammenarbeit mit dem Gesamtverband der Deutschen Versicherungswirtschaft e. V. eine Einwilligungsund Schweigepflichtentbindungserklärung entwickelt, die im Beschluss des Düsseldorfer Kreises vom 17. Januar 2012 als datenschutzgerechte Lösung von den Versicherungsunternehmen übernommen werden sollte. Eine solche Einwilligungserklärung war notwendig, da die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften keine ausreichenden Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung von Gesundheitsdaten durch Versicherungen enthalten. Die Versicherungen waren also aufgefordert, die bisherigen Einwilligungstexte kurzfristig durch neue, der Mustererklärung entsprechende, zu ersetzen. Im Einzelnen wird auf die Ausführungen zu Kapitel 23.9 Einwilligungsund Schweigepflichtentbindungserklärung im 24. Tätigkeitsbericht (2011/2012) des Unabhängigen Datenschutzzentrums Saarland verwiesen, insbesondere auch auf die Anwendungshinweise. In der Folge informierten die betroffenen Unternehmen ihre Versicherungsnehmer über die wesentlichen Inhalte zur Einwilligungs- und Schweigepflichtentbindungserklärung ergänzend zu bereits bestehenden Regelungen in den Versicherungsvertragsverhältnissen. In den Zuständigkeitsbereich der saarländischen Aufsichtsbehörde fallen die im Saarland ansässigen Versicherungsunternehmen. Diese haben ihre Kunden schriftlich auf die neuen Regelungen zur Einwilligungsund Schweigepflichtentbindungserklärung hingewiesen. Darin enthalten war auch ein Hinweis, die vollständige Einwilligungs- und Schweigepflichtentbindungserklärung im Internet abzurufen oder postalisch zugesendet zu bekommen, womit die Versicherungen den wesentlichen Forderungen der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich nachgekommen sind. Im Zuge dieser Benachrichtigungen erreichten die Landesdatenschutzbeauftragte aus dem gesamten Bundesgebiet Beschwerden von Versicherungsnehmern, die eine Benachteiligung in datenschutzrechtlicher Hinsicht befürchteten. Insbesondere ging es bei den Beschwerden darum, dass die Versicherungen zusätzliche Vertragsbedingungen einseitig, also ohne Einwilligung der Betroffenen, mitteilte. 147 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Im Hinblick auf etwaige Bedenken sei darauf hingewiesen, dass durch die „neue“ Einwilligungs- und Schweigepflichtentbindungserklärung eine Anhebung des Datenschutzniveaus zu Gunsten der Versicherten erreicht werden konnte. 23.2 Informationsweitergabe durch eine Versicherung an die Polizei Zu Beginn des Kalenderjahres 2014 erreichte die Aufsichtsbehörde die Eingabe eines Versicherungsnehmers einer im Saarland ansässigen Versicherungsgesellschaft. Grundlegend ging es dabei um die Frage nach der datenschutzrechtlichen Zulässigkeit hinsichtlich einer auf telefonischer Nachfrage erfolgten Weitergabe personenbezogener Daten an Dritte zur Strafverfolgung. Der Petent schilderte den Sachverhalt, wonach seine Ehefrau in einem Parkhaus einen Autounfall verursachte und aufgrund einer situationsbezogenen Fehleinschätzung den Unfallort ohne weiteres Zutun verließ. Ein Zeuge teilte den Sachverhalt der Polizei mit und erstattete Anzeige wegen Unfallflucht. Im Rahmen einer polizeilichen Vernehmung machte der Petent von seinem Zeugnisverweigerungsrecht Gebrauch. Der Petent teilte dies und die Tatsache, dass die Ehefrau das Fahrzeug am Unfalltag gesteuert hatte, dem Versicherungsunternehmen im Zuge der Schadensregulierung mit. Der polizeilichen Ermittlungsakte war zu entnehmen, dass die Polizei telefonisch Kontakt mit dem Versicherer aufgenommen hatte und dem Beamten die Unfallbeschreibung des Petenten auszugsweise mitgeteilt wurde. Das Versicherungsunternehmen teilte auf Nachfrage der Aufsichtsbehörde mit, dass das Auskunftsersuchen bzw. die Übermittlung personenbezogener Daten in hiesigem Fall gemäß §§ 28 Abs. 2 Bundesdatenschutzgesetz (BDSG) i. V. m. 161a Strafprozessordnung (StPO) legitimiert sei. Nach § 28 Abs. 2 Buchst. b BDSG ist eine Datenübermittlung zulässig, soweit sie zur Verfolgung von Straftaten erforderlich ist und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Da ein Ermittlungsverfahren wegen unerlaubten Entfernens vom Unfallort anhängig sei, diene die Auskunft schließlich der Verfolgung einer Straftat. Da der ermittelnde Beamte telefonisch und nicht wie im Regelfall schriftlich oder per Fax Auskunft darüber verlangte, ob aus der Schadensakte die Person hervorgehe, die zum Zeitpunkt des Unfalls Fahrer des in Rede stehenden KFZ sei, erfolgte eine Identifikation des Anrufenden dergestalt, dass neben der Namensnennung des Gesprächspartners sowie einer Abfrage der entsprechenden behördlichen Dienststelle auch eine Identifikation der Telefonnummer ablief, indem die angezeigte Nummer mit der im Internet abrufbaren Rufnummer der dortigen Polizeibehörde abgeglichen wurde. So sei aus Sicht des Versicherungsunternehmens eine Datenübermittlung an unbefugte Personen ausgeschlossen. Aus Sicht der Aufsichtsbehörde kann die Legitimation des Anrufenden entgegen der Auffassung der Versicherung im Rahmen eines Telefonats nicht zweifelsfrei geklärt werden, da eine Identifizierung des Anrufers anhand der angezeigten Telefonnummer ebenso wenig geeignet bzw. 148 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht als ausreichend zu erachten ist wie die Abfrage des Namens des Gesprächspartners und der behördlichen Dienststelle. Des Weiteren wurde in diesem Zusammenhang auf die mangelnde Berücksichtigung interner Datenschutzrichtlinien des Versicherungsunternehmens hingewiesen, da u. a. die Vorgabe, dass vor Erteilung einer telefonischen Auskunft eine Abwägung der schützenswerten Interessen zu erfolgen hat, zumindest teilweise missachtet wurde. Dies wog umso schwerer, da dem Petent gemäß § 52 Abs. 1 Nr. 2 StPO ein Zeugnisverweigerungsrecht zu stand und er von diesem gegenüber der Ermittlungsbehörde auch Gebrauch machte. Im Rahmen eines Telefonats konnte eine datenschutzrechtlich einwandfreie Abwägung der schützenswerten Interessen jedenfalls nicht stattfinden und fand auch nicht statt. Aus diesen Erwägungen heraus ist von Ermittlungsbehörden grundsätzlich zu fordern, dass diese unter Darlegung des berechtigten Interesses eine schriftliche Anfrage an die verantwortliche Stelle – hier das Versicherungsunternehmen – richten. Insbesondere kann durch ein Fax zeitnah und in datenschutzrechtlich unbedenklicher Weise die Identität und die Legitimation des Anrufers geklärt werden. In Zweifelsfällen sollte die verantwortliche Stelle gegenüber der Polizei oder Staatsanwaltschaft auf einer förmlichen Anordnung bestehen. Abschließend wurde das Versicherungsunternehmen vor dem Hintergrund einer drohenden Geldbuße im Falle einer rechtswidrigen Datenübermittlung an Dritte auf die Notwendigkeit der Sensibilisierung der Mitarbeiter und eine restriktive Handhabung hinsichtlich des Umgangs bei entsprechenden telefonischen Anfragen hingewiesen. 149 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 24 Sonstiges 24.1 Strafantrag wegen Amtsanmaßung gegen einen selbstständigen Datenschutzbeauftragten Im Alltagsgeschäft der Datenschutzaufsichtsbehörde spielen nicht bloß rein datenschutzrechtliche Fragestellungen eine Rolle. Der Fall eines selbstständigen Datenschutzbeauftragten, der in seiner Aufgabenwahrnehmung weit über das Ziel hinausgeschossen ist, beschäftigte die Aufsichtsbehörde im Berichtszeitraum. Durch den Anruf eines sehr erbosten Einzelhändlers, der das seines Erachtens ungerechtfertigte und ungewöhnliche Vorgehen eines angeblichen Mitarbeiters der Aufsichtsbehörde thematisierte, wurde die Aufsichtsbehörde auf die Tätigkeit eines selbstständigen Datenschutzbeauftragten aufmerksam. Der Anrufer erklärte, er habe hinsichtlich der in seinem Laden angebrachten Videoüberwachungsmaßnahme und wegen des Impressums seiner Webseite mehrfach E-Mails von einem Mitarbeiter der Datenschutzaufsicht erhalten, in denen Bußgelder und Abmahnungen angedroht würden. Da das Datenschutzzentrum bislang mit dem Ladeninhaber nicht in Kontakt gestanden hatte, geschweige denn ein Verwaltungsverfahren gegen diesen führte, wurde der Ladeninhaber um Zurverfügungstellung der besagten E-Mails gebeten. Aus diesen ging hervor, dass ein selbstständiger Datenschutzbeauftragter diese E-Mails an den Ladeninhaber adressierte und darin, entsprechend der Schilderung des Ladeninhabers, Bußgelder androhte. Zudem vermittelte der Verfasser der E-Mails durch seine Wortwahl bewusst den Eindruck, dass er im Auftrag einer staatlichen Stelle handele und dieser vorgesetzten Stelle Meldung über das Verhalten des Ladeninhabers erstatten müsse. Auf Grundlage dieser E-Mails wurde der Vorgang wegen Verdachts der Amtsanmaßung an die Staatsanwaltschaft weitergegeben. § 132 Strafgesetzbuch Amtsanmaßung Wer unbefugt sich mit der Ausübung eines öffentlichen Amtes befasst oder eine Handlung vornimmt, welche nur kraft eines öffentlichen Amtes vorgenommen werden darf, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Die Staatsanwaltschaft folgte der rechtlichen Bewertung des Sachverhalts durch das Datenschutzzentrum und beantragte im Hinblick auf die im Raum stehende Amtsanmaßung den Erlass eines Strafbefehls. Das zuständige Amtsgericht beraumte die Hauptverhandlung an, um dem Datenschutzbeauftragten Gelegenheit zur Stellungnahme zu geben. Das Gericht sah jedoch abschließend den Tatvorwurf der Amtsanmaßung bestätigt und verurteilte den Datenschutzbeauftragten zu einer 150 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Geldstrafe. Der selbstständige Datenschutzbeauftragte legte gegen dieses Urteil Berufung ein, über die bislang noch nicht entschieden worden ist. 151 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 25 Aus der Dienststelle 25.1 Zusammenarbeit mit dem Landtag Im Berichtszeitraum haben wir an 17 Sitzungen des Ausschusses für Datenschutz und Informationsfreiheit teilgenommen, aktuelle Themen vorgetragen und den Abgeordneten die datenschutzrechtlichen Positionen zu aktuellen politischen Fragestellungen erläutert. Zu den Themen der Ausschusssitzungen gehörten sowohl die zusammenfassende Darstellung des letzten Tätigkeitsberichtes als auch der Vortrag über die jeweils aktuellen Entschließungen der halbjährlich tagenden Datenschutzkonferenz und der Konferenz der Informationsfreiheitsbeauftragten. Darüber hinaus haben wir unter anderem zu folgenden datenschutzrechtlichen Themen berichtet: Abfragen von Kontendaten durch Finanz- und Sozialbehörden im Saarland die rechtliche Würdigung der Selbstauskunftsbögen der gesetzlichen Krankenkassen die datenschutzrechtliche Würdigung der Fragebögen bei Einschulungsuntersuchungen im Saarland die Datenschutzregelungen im neuen Bundesmeldegesetz den Einsatz und die Zulässigkeit von Wildkameras in saarländischen Wäldern datenschutzrechtliche Gesichtspunkte der Verpflichtung saarländischer Kassenärzte nur noch online abrechnen zu dürfen Bericht zu den Schülerworkshops des Unabhängigen Datenschutzzentrums Zulässigkeit der Fahndung in sozialen Netzwerken - insbesondere in Facebook Stellungnahme zum Pressebericht der millionenfachen Ausforschung von Zugangsdaten von privaten Anwendern und Behörden durch Hacker Bericht über den europäischen Datenschutztag Meldepflicht für Videokameras zur Verkehrsüberwachung oder Verbrechensbekämpfung in den saarländischen Kommunen Datensicherheit und Datenschutz bei mobilen Endgeräten Bericht zum Stand der EU-Datenschutzgrundverordnung 152 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Datenschutzrechtliche Bedenken gegen die geplante PKWMaut Videoüberwachung am Arbeitsplatz In weiteren sieben Sitzungen anderer Landtagsausschüsse war der Ausschuss für Datenschutz und Informationsfreiheit hinzugezogen. Hierbei ging es in einigen Fällen insbesondere um Anhörungen zu verschiedenen Gesetzgebungsverfahren sowie aktuelle politische Themen im Land. Im Rahmen dieser Hinzuziehung konnten wir auch mit dem Ausschuss für Justiz, Verfassungs- und Rechtsfragen sowie Wahlprüfung das Institut für Rechtsinformatik an der Universität des Saarlandes besuchen und wurden über den Werdegang des Institutes in den letzten 25 Jahren und die dortige Arbeit unter neuer Leitung informiert. 25.2 Zusammenarbeit mit anderen Stellen 25.2.1 Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) Die Datenschutzkonferenz ist ein freiwilliger Zusammenschluss der Bundesbeauftragten und der Landesbeauftragten für Datenschutz. Die Konferenz trifft sich zweimal im Jahr, der Vorsitz wechselt jährlich. Im Berichtszeitraum hatte im Jahr 2013 das Bundesland Bremen den Vorsitz und im Jahre 2014 das Bundesland Hamburg. In der Konferenz werden zu aktuellen Datenschutzfragen politische Forderungen diskutiert und als Entschließungen formuliert, die anschließend veröffentlicht und an die für die Thematik jeweils zuständigen Ministerien versandt werden. Die im Berichtszeitraum verabschiedeten Entschließungen sind auf der Homepage der Dienststelle veröffentlicht: Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 25. Januar 2013: Beschäftigtendatenschutz nicht abbauen, sondern stärken! Entschließungen der 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 13. und 14. März 2013 in Bremerhaven: Pseudonymisierung von Krebsregisterdaten verbessern Europa muss den Datenschutz stärken Soziale Netzwerke brauchen Leitplanken - Datenschutzbeauftragte legen Orientierungshilfe vor Datenschutz auch in einer transatlantischen Freihandelszone gewährleisten 153 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 5. September 2013: Keine umfassende und anlasslose Überwachung durch Nachrichtendienste! Zeit für Konsequenzen Entschließungen der 86. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 1. und 2. Oktober 2013 in Bremen: Forderungen für die neue Legislaturperiode: Die Datenschutzgrundrechte stärken! Handlungsbedarf zum Datenschutz im Bereich der Öffentlichen Sicherheit in der 18. Legislaturperiode des Deutschen Bundestages Stärkung des Datenschutzes im Sozial- und Gesundheitswesen Sichere elektronische Kommunikation Entschließungen der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27. und 28. März 2014 in Hamburg: Beschäftigtendatenschutzgesetz jetzt! Entschließung zur Struktur der künftigen Datenschutzaufsicht in Europa (siehe auch Europa in diesem TB) Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke - Strenge Regeln erforderlich! Biometrische Gesichtserkennung durch Internetdienste - Nur mit Wahrung des Selbstbestimmungsrechts Betroffener! Entschließung: Gewährleistung der Menschenrechte bei der elektrischen Kommunikation Anlage zur Entschließung: Gewährleistung der Menschenrechte bei der elektronischen Kommunikation Entschließungen der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 8. und 9. Oktober 2014 in Hamburg: Effektive Kontrolle der Nachrichtendienste herstellen! Unabhängige und effektive Datenschutzaufsicht für Grundrechtsschutz unabdingbar Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen Datenschutz im Kraftfahrzeug Marktmacht und informationelle Selbstbestimmung 154 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14. November 2014: Keine PKW-Maut auf Kosten des Datenschutzes! Düsseldorfer Kreis Der Düsseldorfer Kreis ist ein privilegierter Arbeitskreis der Datenschutzkonferenz mit eigenen Beschlüssen aus dem Bereich des Bundesdatenschutzgesetzes mit sechs Unterarbeitskreisen. Der Vorsitz wird vom Landesbeauftragten für Datenschutz Nordrhein-Westfalen geführt. Ziel des Düsseldorfer Kreises ist die bundesweit einheitliche Auslegung des geltenden Rechts im nicht-öffentlichen Bereich in wesentlichen Fragen des Datenschutzes sowie die Verständigung zwischen den Aufsichtsbehörden über ein aufsichtsbehördliches Vorgehen, um zu einem verlässlichen, bundesweit möglichst einheitlich angewandten Datenschutzniveau im nicht-öffentlichen Bereich zu gelangen. Die im Berichtszeitraum gefassten Beschlüsse des Düsseldorfer Kreises sind in der Anlage beigefügt. Hier die Themen der wichtigsten Entscheidungen: Beschlüsse aus dem Jahr 2013: Datenübermittlung in Drittstaaten erfordert zwei Stufen Videoüberwachung in und an Taxis Beschlüsse aus dem Jahr 2014: Smartes Fernsehen nur mit smartem Datenschutz Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sog. Dashcams) Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden Orientierungshilfen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder beschließt darüber hinaus in unregelmäßigen Abständen Orientierungshilfen zu verschiedenen Themen, die jeweils von unterschiedlichen und teils mehreren Arbeitskreisen in bundesweiten Tagungen erarbeitet und vorbereitet werden. Den vollen Text der Orientierungshilfen finden Sie auf unserer Homepage, unter: www.datenschutz.saarland.de 155 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Im Berichtszeitraum sind neu veröffentlicht worden: Orientierungshilfe Soziale Netzwerke Ziel dieser Orientierungshilfe ist es, neben der Konkretisierung der gesetzlichen Mindeststandards auch Best-Practice-Ansätze aufzuzeigen. Sie reflektiert das Verständnis der Datenschutzbeauftragten und Aufsichtsbehörden bei der Verwendung sozialer Netzwerke zur Erfüllung eigener Aufgaben oder Geschäftszwecke. Orientierungshilfe zu den Entwickler und App-Anbieter Datenschutzanforderungen an App- Die Orientierungshilfe richtet sich an Entwickler und Anbieter mobiler Applikationen (Apps). Sie zeigt datenschutzrechtliche und technische Anforderungen auf und macht diese anhand plakativer Beispiele verständlich. Orientierungshilfe – Cloud Computing Die Datenschutzbeauftragten des Bundes und der Länder beschäftigen sich bereits seit längerer Zeit mit der Thematik des Cloud Computing. Da das Thema weiter an Aktualität gewonnen hat, wurde von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises die Orientierungshilfe erarbeitet. Der Schwerpunkt liegt dabei auf Hinweisen bei der Nutzung von Cloud-Computing Diensten durch datenverarbeitende Stellen. In diesem Tätigkeitsbericht finden Sie auch unter dem Kapitel Technisch-organisatorischer Datenschutz eine Zusammenfassung für den Praktiker. Orientierungshilfe zur "Einholung von Selbstauskünften bei Mietinteressenten" Vor der Vermietung von Wohnraum erheben Vermieter bei den Mietinteressenten zum Teil sehr umfangreiche persönliche Angaben, auf deren Basis sie ihre Entscheidung über den Vertragsabschluss treffen. An der Beantwortung solcher Selbstauskünfte muss der Vermieter jedoch ein berechtigtes Interesse haben und es dürfen nur solche Daten erhoben werden, die zur Durchführung des Mietvertrags erforderlich sind. Die Aufsichtsbehörden für den Datenschutz haben in der Orientierungshilfe die wichtigsten Grundsätze aufgezeigt. Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG Verhaltensregeln dienen dem präventiven Datenschutz und der regulierten Selbstregulierung der Wirtschaft. Für den Umgang mit datenschutzrechtlichen Verhaltensregeln (auch CoC - Code of Conduct ge- 156 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht nannt) gilt § 38a BDSG, der die Regelung in Art. 27 der Europäischen Datenschutzrichtlinie (95/46/EG) in nationales Recht umsetzt. Verhaltensregeln können gesetzliche Regeln nicht ersetzen oder verdrängen, sollen aber diese konkretisieren (Durchführung) und im Hinblick auf den Datenschutz verbessern (Förderung). Kommt es trotz positiver Überprüfung einer Aufsichtsbehörde (Anerkennung) zu einem Widerspruch zwischen gesetzlicher Regelung und Verhaltensregel geht das Gesetz vor. Um die Voraussetzungen dafür zu schaffen, die Wirtschaft zu motivieren, sich datenschutzrechtliche Verhaltensregeln zu geben, die im Interesse aller zu mehr Rechtssicherheit führen können, haben die Aufsichtsbehörden die Orientierungshilfe erstellt. Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ Die seitens des Gesetzgebers vorgegebenen Anforderungen an den datenschutzkonformen Betrieb einer Videoüberwachungsmaßnahme machen vor deren Einsatz somit teils komplexe Vorüberlegungen erforderlich. Zudem sind flankierende technische und organisatorische Maßnahmen umzusetzen. Die Orientierungshilfe soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben dabei einzuhalten sind. Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke Der Düsseldorfer Kreis hat eine Ad-hoc-Arbeitsgruppe „Werbung und Adresshandel“ unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen für den werblichen Umgang mit personenbezogenen Daten beauftragt. In mehreren Sitzungen wurden Anwendungshinweise formuliert, die in diesem Dokument abgedruckt und als beschlossen anzusehen sind. Orientierungshilfe Krankenhausinformationssysteme in der zweiten Fassung Diese Orientierungshilfe soll es Betreibern und Herstellern von Krankenhausinformationssystemen erleichtern, den gesetzlichen Anforderungen und den gerechtfertigten Erwartungen der Patienten im komplexen System Krankenhaus gerecht zu werden. Mit der vorliegenden, überarbeiteten Fassung der Orientierungshilfe werden keine neuen Themenbereiche erschlossen oder die Anforderungen der Ursprungsfassung revidiert. Vielmehr soll den Herstellern und Betreibern von Krankenhausinformationssystemen eine für die Praxis besser handhabbare Handreichung für die datenschutzgerechte Gestaltung und Nutzung von Krankenhausinformationssystemen geboten werden. 157 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Mangels bestehender bereichsspezifischer Regelungen zur Ausgestaltung und zum Betrieb von Bewertungsportalen müssen die einzuhaltenden Anforderungen des Datenschutzes aus den allgemeinen Bestimmungen der §§ 27 ff. BDSG sowie der in diesem Zusammenhang ergangenen Rechtsprechung abgeleitet werden. Mit der vorliegenden Handreichung werden die aus Sicht der Datenschutzaufsicht grundsätzlich zu beachtenden Mindestvoraussetzungen für eine datenschutzgerechte Errichtung und den Betrieb derartiger Bewertungsportale zusammengefasst und konkretisiert. Die Darstellung soll den Portalbetreibern, den Nutzern und den Bewerteten eine allgemeine Orientierung für den in diesem Zusammenhang regelmäßig zur Verfügung stehenden Gestaltungsspielraum geben. Unabhängig davon obliegt die datenschutzrechtlich verbindliche Bewertung einzelner Bewertungsportale auch weiterhin der im Einzelfall zuständigen Datenschutzaufsicht. 25.2.2 Zusammenarbeit in der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder Die Informationsfreiheitsbeauftragten des Bundes und der Länder haben sich in der Konferenz der Informationsfreiheitsbeauftragten zusammengeschlossen und treffen sich im halbjährlichen Rhythmus. Der Vorsitz wechselt jährlich. Die Konferenz selbst tagt grundsätzlich öffentlich und stimmt die Stellungnahmen zu den aktuellen politischen Entwicklungen in diesem Bereich ab und fasst Entschließungen hierzu, die der Politik, der Fachöffentlichkeit und den Medien übergeben werden. Im Jahr 2013 tagte die Konferenz der Informationsfreiheitsbeauftragten unter dem Vorsitz des Informationsfreiheitsbeauftragten aus Thüringen und im Jahre 2014 lag der Vorsitz bei Hamburg. In den Bundesländern Bayern, Baden-Württemberg, Hessen und Niedersachsen und Sachsen gibt es bisher kein Gesetz zur Informationsfreiheit und damit auch keine Beauftragten (Im Saarland ist das Informationsfreiheitsgesetz des Landes im Jahre 2006 verabschiedet worden und in Kraft getreten) In der Anlage sind die Entschließungen der Informationsfreiheitsbeauftragten aus dem Berichtszeitraum beigefügt. Hier die Themen: 26. Konferenz der Informationsfreiheitsbeauftragten vom 28. Juni 2013 "Open Data stärkt die Informationsfreiheit - sie ist eine Investition in die Zukunft!" 158 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht "Transparenz bei Sicherheitsbehörden" "Verbraucher durch mehr Transparenz im Lebensmittelbereich schützen - Veröffentlichungspflichten für Hygieneverstöße jetzt nachbessern!" 27. Konferenz der Informationsfreiheitsbeauftragten vom 28. November 2013 Forderungen für die neue Legislaturperiode: Informationsrechte der Bürgerinnen und Bürger stärken! 28. Konferenz der Informationsfreiheitsbeauftragten vom 17. Juni 2014 Das Urheberrecht dient nicht der Geheimhaltung Keine Flucht ins Privatrecht Informationsfreiheit nicht Privaten überlassen 29. Konferenz der Informationsfreiheitsbeauftragten vom 9. Dezember 2014 25.2.3 Transparenz bei Ermittlungsmethoden Unabhängige Informationsfreiheitsaufsicht unabdingbar Open Data als Standard Zusammenarbeit auf Landesebene Auf Landesebene findet ein regelmäßiger Erfahrungsaustausch mit dem Arbeitskreis Datenschutz von BEST - Beratungsstelle für sozialverträgliche Technologiegestaltung e.V. der Arbeitskammer. Ebenso sind wir in der Arbeitsgemeinschaft Medienkompetenz vernetzt. Ständige Mitglieder sind: das Landesinstitut für Pädagogik und Medien (LPM), das Landesinstitut für Präventives Handeln (LPH), das Landespolizeipräsidium, das Unabhängige Datenschutzzentrum (UDZ), die Landesmedienanstalt Saarland (LMS), der Jugendserver-Saar sowie die Europäische EDV-Akademie des Rechts (EEAR). 159 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Arbeitsgemeinschaft hat im Jahr 2014 auch den 1. Saarländischen Medientag ausgerichtet. 25.3 Öffentlichkeitsarbeit Die Öffentlichkeitsarbeit ist im Berichtszeitraum weiter ausgebaut worden. Dies ist unabdingbar, da nur durch Information über die Gefahren für die Privatsphäre ein möglichst hoher Schutz erreicht werden kann. In Zeiten der Digitalisierung des Alltages und der Vernetzung im Internet besteht die Notwendigkeit über aktuelle datenschutzrechtliche Themen breit zu informieren da vielen Menschen die Risiken unbekannt sind. Der Schwerpunkt lag im Berichtszeitraum im Schulbereich mit den Workshops für Schüler zum Thema: „Datenverantwortung und Datenschutz“ Angesichts der zunehmenden Nutzung von Web 2.0-Angeboten wie Facebook, Google+, Twitter, Wikis, usw. geht es darum, junge Menschen möglichst frühzeitig das Basiswissen zum Thema Privatsphäre zu vermitteln. Wir konnten unsere Workshops auch in den Schulleiterbesprechungen im Landkreis Merzig, St. Wendel und im Saarpfalz-Kreis vorstellen. Die Workshops werden an den 6. Klassen der weiterführenden Schulen angeboten. Vom Oktober 2013 bis zum Dezember 2014 konnten wir in 135 Schulklassen die Grundlagen zum Datenschutz vermitteln. Einen ausführlichen Bericht zu diesem Thema können Sie in dem Bereich Schule und Bildung in diesem Tätigkeitsbericht nachlesen. 25.3.1 Vorträge Ein Mitarbeiter hält regelmäßig Vorträge an der Verwaltungsschule, auch an der Sparkassenakademie finden jährlich Vorträge zu aktuellen datenschutzrechtlichen Themen statt. Darüber hinaus haben wir an einer Vielzahl von Veranstaltungen zu unterschiedlichen Themen vortragen dürfen. So haben wir in weiteren 20 Veranstaltungen vor Eltern, Lehrern, Organisationen und saarländischen Einrichtungen neben allgemeinen Datenschutzthemen und Vorstellungen des Unabhängigen Datenschutzzentrums folgende Vorträge halten: Facebook und Co - wo bleibt der Datenschutz Fachtagung für Staatsanwälte und Strafrichter zum Thema Telemedien Datenschutz in Medien und im Bereich Bildung 160 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 25.3.2 Sichere Wege im Internet Daten in der Wolke Datenschutz bei Smartphones und Tablets Videoüberwachung im öffentlichen Raum Smart(er) fernsehen Alles was Recht ist; Datenschutz in der Schule Datenschutz bei Gesundheitsdaten Fortbildungen für Unternehmen zusammen mit der IHK Durch die Unterstützung seitens der IHK konnten wir auch drei gemeinsame Veranstaltungen für Unternehmen und deren betriebliche Datenschutzbeauftragte im Berichtszeitraum anbieten: 25.3.3 Datenschutzkonforme Ausgestaltung der Internetseiten – datenschutzrechtliche Anforderungen an Telemedien, Betrieblicher Datenschutzbeauftragter und seine Aufgaben, Datensicherheit im Betrieb – „die Hacker kommen“. Umbau der Homepage zum Informationsmedium Zur Unterstützung der Öffentlichkeitsarbeit unserer Dienststelle wurde die Webseite des Unabhängigen Datenschutzzentrums optisch und inhaltlich überarbeitet sowie technisch modernisiert. Das Herz der neuen Webseite bildet das freie Content-Management-Framework Typo3, das wegen seiner Flexibilität, seines Funktionsumfangs und seiner Erweiterbarkeit die erste Wahl war. Aus Datenschutz- und Datensicherheitsgründen ist die Webseite jetzt nur noch über https, also mittels Transportverschlüsselung, erreichbar. Alle Besucher werden bei Aufruf der Webseite automatisch auf die verschlüsselte Variante umgeleitet. Neue Wege sind wir bei den Kommunikationsmöglichkeiten mit unserer Dienststelle über die Webseite gegangen. Wie die anderen Datenschutzbeauftragten (Bund und Länder) auch, bieten wir ein Kontaktformular auf unserer Webseite an, mit dem Besucher der Webseite unmittelbar mit uns in Kontakt treten können. Neu ist jedoch, dass wir – um die Hürden für die Besucher so gering wie möglich zu halten und gleichzeitig auch sensibelste Eingaben der Nutzer gegen unbefugte Kenntnisnahme Dritter zu schützen – das Kontaktformular um eine Möglichkeit zur asymmetrischen Verschlüsselung ergänzt haben. Das bedeutet, dass die Eingaben des Nutzers noch vor dem Absenden im Browser auf dem Gerät des Nutzers mit dem öffentlichen PGP-Schlüssel 161 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht unserer Dienststelle verschlüsselt werden und dann erst - zusätzlich mittels Transportverschlüsselung gesichert - auf den Weg gebracht werden um so den größtmöglichen Schutz der Eingaben des Besuchers zu gewährleisten. So asymmetrisch verschlüsselte Nachrichten können nur von unserer Dienststelle gelesen werden, was bei einer reinen Transportverschlüsselung nicht in jedem Fall gewährleistet ist. Da die asymmetrische Verschlüsselung der Eingaben jedoch nicht von älteren Browsern unterstützt wird, prüft das System bereits beim Aufruf des Kontaktformulars ob eine verschlüsselte Kommunikation im Endgerät des Nutzers technisch möglich ist und informiert den Nutzer bei Bedarf durch eine Ampellogik (rot, gelb, grün) und aussagekräftige Hinweise. 25.3.4 Flyer, Poster und Merkblätter Im Berichtszeitraum wurden versucht durch verschiedene Flyer und Poster zu unterschiedlichen Themen auf die Datenschutz- und Datensicherheitsthemen aufmerksam zu machen. Beispielhaft sei hier verwiesen auf ein Poster für Schüler, dass an alle weiterführenden Schulen versandt wurde, und eine Weihnachtsgrußkarte die auf Datensicherheitsthemen hinwies und eine zusätzliche Karte mit Hinweisen zur Browsersicherheit beinhaltete. Im Berichtszeitraum wurden auch die Merkblätter 25.3.5 zum datenschutzkonformen Einsatz von Tierbeobachtungskameras in saarländischen Wäldern und das Merkblatt zur Videoüberwachung durch nicht öffentliche Stellen vorgestellt. Tätigkeitsbericht Ein wesentlicher Teil unserer Öffentlichkeitsarbeit ist auch dieser Tätigkeitsbericht, der sowohl der Sensibilisierung der Allgemeinheit aber auch dem Vorbeugen vor weiteren Verstößen dient. Nur wer weiß was datenschutzrechtlich zulässig ist, kann sein Verhalten auch darauf einstellen. Nur wer weiß, dass er sich vor Angriffen seiner Privatsphäre schützen kann, findet auch die richtigen Werkzeuge hierzu. 162 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 26 Beschlüsse des Düsseldorfer Kreises 26.1 Videoüberwachung in und an Taxis Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 26./27. Februar 2013) Leben, Gesundheit und Freiheit der Taxifahrer sind hohe Rechtsgüter, die es nachhaltig zu schützen gilt. Zu diesem Zweck kann auch der Einsatz von Videokameras in Betracht kommen. Allerdings müssen die Persönlichkeitsrechte der Fahrgäste, der angestellten Taxifahrer sowie anderer Verkehrsteilnehmer gewahrt bleiben. Der Einsatz von Videokameras muss daher unter Würdigung der berechtigten Sicherheitsinteressen und schutzwürdigen Belange aller Betroffenen auf das erforderliche Mindestmaß beschränkt bleiben. Die Zulässigkeit einer Videoüberwachung durch Taxi-Unternehmen bestimmt sich nach § 6b Bundesdatenschutzgesetz (BDSG). Gemäß § 6 b Abs. 1 Nr. 3, Abs. 3 BDSG ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 1. Innenkameras Das betroffene Taxi-Unternehmen muss als verantwortliche Stelle vorrangig alternative und weniger einschneidende Schutzmaßnahmen berücksichtigen, bevor eine Videoüberwachung erwogen werden kann. In Betracht zu ziehen sind beispielsweise die Möglichkeit der anlassbezogenen Auslösung eines „stillen Alarms“ oder eines GPS-gestützten Notrufsignals. Taxifahrern kann die Möglichkeit eröffnet werden, die Videoaufzeichnung selbsttätig (z.B. über einen Schalter) zu aktivieren, wenn nach ihrer eigenen Einschätzung eine bedrohliche Situation gegeben ist und es mithin einen Anlass für die Aufzeichnung gibt. Eine anlasslose Videoüberwachung, die ohne Einflussnahmemöglichkeit des Fahrers generell und automatisch einsetzt und bei der sowohl die Fahrgäste als auch das gesamte Geschehen im Fahrgastbereich permanent aufgezeichnet werden, ist weder erforderlich noch verhältnismäßig. Unter Berücksichtigung sowohl der Sicherheitsinteressen des Fahrpersonals als auch der Persönlichkeitsrechte der betroffenen Fahrgäste ist die Videoaufzeichnung vielmehr in der Regel auf das Anfertigen einzelner Standbilder der Fahrgäste beim Einsteigen zu beschränken. Soweit Bilder zulässigerweise aufgezeichnet wurden, sind diese gemäß § 6b Abs. 5 BDSG unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind. Gab es kein Schadensereignis, sind die Bildaufnahmen der Innenkameras im Regelfall innerhalb von 24 Stunden, spätestens aber nach 48 Stunden zu löschen. 163 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Dem Transparenzgebot des § 6b Abs. 2 BDSG folgend müssen durch deutlich sichtbare Beschilderungen an den Fahrgasttüren potentielle Fahrgäste vor dem Einsteigen auf den Umstand der Videoüberwachung und die hierfür verantwortliche Stelle hingewiesen werden. Schließlich haben die Taxi-Unternehmen durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, dass nur berechtigten Personen ein Zugriff auf die Bildaufzeichnungen möglich und ein unbefugtes Auslesen der Daten ausgeschlossen ist. 2. Außenkameras Die Voraussetzungen des § 6b Abs. 1, Abs. 3 BDSG sind bei Außenkameras, mit denen der öffentliche Verkehrsraum – etwa zwecks vorsorglicher Beweis sichernder Dokumentation für den Fall eines Schadensereignisses – einer Überwachung unterzogen werden soll, nicht erfüllt. Unerheblich ist dabei, ob die Kameras mobil sind und eventuell nur die nähere Umgebung des Taxis erfassen. Mit derartigen Kameras sollen gezielt personenbezogene Daten (Bilder, auf denen Personen, KfzKennzeichen, Aufschriften auf Fahrzeugen etc. erkennbar sind) erhoben werden, um später anhand der Aufnahmen beispielsweise Verantwortlichkeiten von Verkehrsteilnehmern und Haftungsfragen klären zu können. Das Recht auf informationelle Selbstbestimmung umfasst jedoch die Möglichkeit, sich in der Öffentlichkeit frei und ungezwungen zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Eine Rechtsgrundlage für diese Datenerhebung gibt es nicht. Eine andere Beurteilung ergibt sich auch nicht, wenn § 28 BDSG zugrunde gelegt wird. Die Ausstattung von Taxis mit "Unfallkameras", wie sie von Versicherungsunternehmen vorgeschlagen wird, ist daher unzulässig. Die Taxiunternehmen müssen sich darüber im Klaren sein, dass nicht das Versicherungsunternehmen, sondern sie selbst in der datenschutzrechtlichen Verantwortlichkeit stehen. 26.2 Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 11./12. September 2013) Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb des Europäischen Wirtschaftsraums, sind Datenschutzfragen auf zwei Stufen zu prüfen: Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungs- 164 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht maßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten. Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen. Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt. 26.3 Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“ Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 27. Januar 2014) Vor der Vermietung von Wohnraum erheben Vermieter bei den Mietinteressenten zum Teil sehr umfangreiche persönliche Angaben, auf deren Basis sie ihre Entscheidung über den Vertragsabschluss treffen. An der Beantwortung solcher Selbstauskünfte muss der Vermieter jedoch ein berechtigtes Interesse haben und es dürfen nur solche Daten erhoben werden, die zur Durchführung des Mietvertrags erforderlich sind. Die legitimerweise zu stellenden Fragen basieren folglich auf einer Abwägung der Interessen des Vermieters gegenüber dem Recht des Mietinteressenten auf informationelle Selbstbestimmung. Die Orientierungshilfe "Einholung von Selbstauskünften bei Mietinteressenten" zeigt die wichtigsten Grundsätze auf. Für häufige Fallgestaltungen wird – ohne Anspruch auf Vollständigkeit – dargestellt, was zulässig ist. 26.4 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014) I. Ausgangslage Freiwillige Audits leisten einen bedeutenden Beitrag für den Datenschutz, weil sie als aus eigenem Antrieb veranlasste Maßnahme die Chance in sich bergen, zu mehr Datenschutz in der Fläche zu gelangen. Datenschutz sollte ein Wettbewerbsvorteil sein. Unternehmen, die sich um einen hohen Datenschutzstandard bemühen, möchten dies auch anerkannt sehen. Ein Datenschutzzertifikat ist ein wichtiges Signal an diese Unternehmen. 165 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Zugleich trägt ein Zertifikat dazu bei, das Vertrauen von Bürgerinnen und Bürgern, Verbraucherinnen und Verbraucher in den achtsamen Umgang mit ihren Daten zu fördern. Eigenverantwortung ist eine wichtige Säule für einen funktionierenden Datenschutz. Der Ruf nach einem Audit hat im Zuge der Diskussion um den Europäischen Rechtsrahmen weiteren Auftrieb erhalten. Initiativen auf Landesebene und nunmehr auch auf Bundesebene haben dieses Anliegen aufgegriffen. II. Erprobung von Modellen, Anforderungen Die Gesetzgeber haben bisher lediglich einzelne Teilregelungen zu Zertifizierungen getroffen. Der Düsseldorfer Kreis unterstützt weitergehende Bemühungen, Erfahrungen mit Zertifizierungen zu sammeln, die in Eigener Verantwortung im Wege der Selbstregulierung auf der Grundlage von Standards erfolgen, die die Aufsichtsbehörden befürworten. Verlässliche Aussagen für Bürgerinnen und Bürger, für Verbraucherinnen und Verbraucher erfordern, dass Zertifizierungsdienste anbietende Stellen (Zertifizierungsdienste) geeignete inhaltliche und organisatorische Vorkehrungen für derartige Verfahren mit dem Ziel treffen, eine sachgerechte und unabhängige Bewertung zu gewährleisten. Dazu gehören im Kern folgende, von Zertifizierungsdiensten zu bearbeitende Strukturelemente: - Prüffähige Standards, die von den Aufsichtsbehörden befürwortet werden, zu entwickeln, zu veröffentlichen und zur Nutzung für Dritte freizugeben, - beim Zertifizierungsprozess zwischen verschiedenen Ebenen zu unterscheiden (Prüfung, Zertifizierung, Akkreditierung), - für verschiedene auf Ebenen und/oder in Verfahrensabschnitten anfallende Aufgaben voneinander abzugrenzende Rollen der jeweils Mitwirkenden vorzusehen, - Regelungen zur Vermeidung von Interessenkollisionen der an einem Zertifizierungsprozess Beteiligten zu treffen, - Anforderungen an die Eignung als Prüferin und Prüfer festzulegen und diesen Personenkreis für Zertifizierungen zu qualifizieren, - den geprüften Sachbereich so zu umschreiben, dass Bürgerinnen und Bürger, Kundinnen und Kunden die Reichweite der Prüfaussage ohne weiteres dem Zertifikat entnehmen können, - Bedingungen für Erteilung, Geltungsdauer und Entzug von Zertifikaten zu bestimmen, 166 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht - Zertifikate zusammen mit den wesentlichen Ergebnissen der Prüfberichte zu veröffentlichen. III. Abstimmung im Düsseldorfer Kreis Der Düsseldorfer Kreis verfolgt die Entwicklung von sowohl auf Landesebene mit dieser Zielrichtung begleiteten Initiativen als auch auf Bundesebene begonnenen weiteren Initiativen. Er beteiligt sich an einer ergebnisoffenen Diskussion, um zu optimalen Verfahrensgestaltungen zu gelangen. Die im Düsseldorfer Kreis zusammenwirkenden Aufsichtsbehörden sehen daher als gemeinsame Aufgabe, sich auf inhaltliche und verfahrensmäßige Anforderungen für Zertifizierungsverfahren zu verständigen und zu Beratungsersuchen im Interesse einer bundesweit einheitlichen Aufsichtspraxis auf im Düsseldorfer Kreis abgestimmter Grundlage Stellung zu nehmen. 26.5 Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sog. Dashcams) Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014) Mittlerweile nimmt der Einsatz sog. Dashcams auch in Deutschland immer mehr zu, um, so die standardmäßige Begründung, im Falle eines Unfalls den Hergang nachvollziehen und das Video gegebenenfalls als Nachweis bei der Regulierung von Schadensfällen und der Klärung von Haftungsfragen heranziehen zu können. Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich machen darauf aufmerksam, dass der Einsatz solcher Kameras - jedenfalls sofern dieser nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt - datenschutzrechtlich unzulässig ist. Soweit mit den Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmaufnahmen zur Dokumentation eines Unfallhergangs angegeben wird, ist der Einsatz – auch wenn die Kameras von Privatpersonen eingesetzt werden – an den Regelungen des Bundesdatenschutzgesetzes zu messen. Gemäß § 6b Abs. 1 Nr. 3 und Abs. 3 des Bundesdatenschutzgesetzes (BDSG) ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Voraussetzungen sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der Verkehrsteilnehmer überwiegen. Das informationelle Selbstbestimmungsrecht umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Dashcams zeichnen den Verkehr sowie Personen, die sich in 167 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht der Nähe einer Straße aufhalten, ohne Anlass und permanent auf, so dass eine Vielzahl von Verkehrsteilnehmern betroffen ist, die sämtlich unter einen Generalverdacht gestellt werden, ohne dass sie von der Überwachung Kenntnis erlangen oder sich dieser entziehen können. Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Videoaufnahmen als Beweismittel zur Hand zu haben, kann diesen gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen. Da selbst die Polizei Videokameras zur Verfolgung von Straftaten und Ordnungswidrigkeiten nur auf der Grundlage spezifischer Regelungen und ausschließlich dann einsetzen darf, wenn gegen die betroffene Person ein entsprechender Anfangsverdacht besteht, können erst recht sonstige Stellen nicht für sich beanspruchen, den öffentlichen Verkehrsraum anlass- und schrankenlos mittels Kameras zu überwachen. 26.6 Smartes Fernsehen nur mit smartem Datenschutz Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis im Mai 2014) Moderne Fernsehgeräte (Smart-TV) bieten neben dem Empfang des Fernsehsignals u. a. die Möglichkeit, Internet-Dienste aufzurufen. Den Zuschauern ist es somit möglich, simultan zum laufenden TV-Programm zusätzliche Web-Inhalte durch die Sender auf dem Bildschirm anzeigen zu lassen (etwa durch den HbbTV-Standard). Auch Endgerätehersteller bieten über eigene Web-Plattformen für Smart-TV-Geräte verschiedenste Internet-Dienste an. Für die Zuschauer ist aufgrund der Verzahnung der Online- mit der TV-Welt oft nicht mehr erkennbar, ob sie gerade das TV-Programm oder einen Internet-Dienst nutzen. Überdies können sie vielfach nicht erkennen, um welchen Dienst es sich handelt. Durch die Online-Verbindung entsteht – anders als beim bisherigen Fernsehen – ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Das individuelle Nutzungsverhalten kann über diesen Rückkanal erfasst und ausgewertet werden. Fernsehen ist ein maßgebliches Medium der Informationsvermittlung und notwendige Bedingung für eine freie Meinungsbildung. Das Recht auf freien Informationszugang ist verfassungsrechtlich geschützt und Grundbedingung der freiheitlich demokratischen Grundordnung. Die Wahrnehmung dieses Rechts würde durch die umfassende Erfassung, Auswertung und Nutzung des Nutzungsverhaltens empfindlich beeinträchtigt. Aus datenschutzrechtlicher Sicht sind die folgenden Anforderungen zu beachten: 1. Die anonyme Nutzung von Fernsehangeboten muss auch bei Smart-TV-Nutzung gewährleistet sein. Eine Profilbildung über das individuelle Fernsehverhalten ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig. 168 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 2. Soweit Web- oder HbbTV-Dienste über Smart-TV-Geräte genutzt werden, unterliegen diese als Telemedien den datenschutzrechtlichen Anforderungen des Telemediengesetzes. Endgerätehersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen entweder eine entsprechende Einwilligung der Betroffenen einholen oder zumindest die folgenden rechtlichen Vorgaben beachten: Auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, sofern dies zur Erbringung der Dienste oder zu Abrechnungszwecken erforderlich ist. Spätestens bei Beginn der Nutzung müssen die Nutzer erkennbar und umfassend über die Datenerhebung und –verwendung informiert werden. Anbieter von Telemedien dürfen nur dann Nutzungsprofile erstellen und analysieren, sofern hierzu Pseudonyme verwendet werden und die betroffene Nutzerin oder der betroffene Nutzer dem nicht widersprochen hat. Derartige Widersprüche sind wirksam umzusetzen, insbesondere im Gerät hinterlegte Merkmale (z.B. Cookies) sind dann zu löschen. Auf das Widerspruchsrecht sind die Nutzer hinzuweisen. IP-Adressen und Gerätekennungen sind keine Pseudonyme im Sinne des Telemediengesetzes. Verantwortliche Stellen haben sicherzustellen, dass Nutzungsprofildaten nicht mit Daten über den Träger des Pseudonyms zusammen geführt werden. 3. Beachtung des Prinzips „privacy by default“: Die Grundeinstellungen der Smart-TV-Geräte und Web-Dienste sind durch die Hersteller und Anbieter derart zu gestalten, dass dem Prinzip der anonymen Nutzung des Fernsehens hinreichend Rechnung getragen wird. Der Aufruf der Web-Dienste und die damit einhergehende wechselseitige Kommunikation mit Endgerätehersteller, Sender oder sonstigen Anbietern per Internet dürfen erst nach umfassender Information durch die Nutzer selbst initiiert werden, z. B. die Red-Button-Aktivierung bei HbbTV. Die auf den Geräten gespeicherten Daten müssen der Kontrolle durch die Nutzer unterliegen. Insbesondere muss die Möglichkeit bestehen, Cookies zu verwalten. 4. Smart-TV-Geräte, die HbbTV- Angebote der Sender sowie sonstige Web-Dienste müssen über sicherheitstechnische Mechanismen verfügen, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen. Diese Position wird von der Konferenz der Direktoren der Landesanstalten für Medien unterstützt. 169 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 27 Internationale Konferenz der Datenschutzbeauftragten 27.1 Entschließung zu Big Data 36. Konferenz vom 13. – 16. Oktober 2014, in Balaclava Es wird häufig anerkannt, dass die Möglichkeit zur Speicherung und Analyse riesige Mengen von Daten sich für die Gesellschaft als vorteilhaft erweisen kann. So kann Big Data z.B. genutzt werden, um die Ausbreitung von Epidemien vorherzusagen, gravierende Nebenwirkungen von Medikamenten aufzudecken und die Verschmutzung in großen Städten zu bekämpfen. Einige dieser Nutzungen beinhalten keine Verwendung personenbezogener Daten; Big Data kann jedoch auch in einer Art genutzt werden, die zu gravierenden Besorgnissen in Bezug auf die Privatsphäre des Individuums und auf Bürgerrechte, den Schutz gegen Diskriminierungen und Beschränkungen des Rechts auf Gleichbehandlung führt. Big Data bedingt einen neuen Blick auf Daten, mit dem Informationen sichtbar werden, die vorher nur schwer zu gewinnen oder in anderer Weise verschleiert waren. Big Data beinhaltet in großem Ausmaß die Wiederverwendung von Daten. Der Wert der Daten kann mit der Möglichkeit verbunden sein, Vorhersagen über zukünftige Handlungen oder Ereignisse zu treffen. Big Data kann als Herausforderung für wesentliche Grundsätze des Schutzes der Privatsphäre, insbesondere für die Prinzipien der Zweckbindung und der Datenminimierung angesehen werden. Der Schutz, den diese Datenschutzprinzipien gewähren, ist wichtiger als je zuvor in einer Zeit, in der ein zunehmendes Ausmaß von Daten über jedermann gesammelt wird. Die Prinzipien stellen das Fundament für Schutzmaßnahmen dar gegen eine extensive Profilbildung in einer immer weiter zunehmenden Reihe von neuen Zusammenhängen. Eine Verwässerung grundlegender Datenschutzprinzipien in Kombination mit einer extensiveren Nutzung von Big Data wird sich aller Voraussicht nach nachteilig auf den Schutz der Privatsphäre und anderer Grundrechte auswirken. Mitglieder der Internationalen Konferenz und andere Interessenvertreter wie z.B. die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation (IWGDPT, auch bekannt als “Berlin Group”) haben sich mit Fragen des Datenschutzes und des Schutzes der Privatsphäre im Zusammenhang mit Big Data auseinandergesetzt. Datenschutzbedenken im Hinblick auf die Nutzung von Profilbildung sind von der Internationalen Konferenz in der Uruguayer Erklärung von 2012 und in der Warschauer Erklärung zur Profilbildung von 2013 aufgeworfen worden. Um weitere Anstrengungen zur Reduzierung von Risiken bei der Verwendung von Big Data zu befördern, fordert die 36. Internationale Konferenz der Datenschutzbeauftragten alle Parteien auf, die Big Data verwenden, • Den Grundsatz der Zweckbindung zu respektieren. 170 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht • Das Ausmaß der Datenerhebung und -speicherung auf das für den beabsichtigten, rechtmäßigen Zweck notwendige Maß zu beschränken. • Eine rechtsgültige Einwilligung von den Betroffenen im Zusammenhang mit der Nutzung personenbezogener Daten für Zwecke der Analyse und Profilbildung einzuholen, wo dies angemessen ist. • Transparent zu machen, welche Daten erhoben werden, wie die Daten verarbeitet werden, für welche Zwecke sie genutzt werden und ob die Daten an Dritte übermittelt werden oder nicht. • Den Betroffenen angemessene Auskunft über die über sie gespeicherten Daten und über Informationen und sie betreffende Entscheidungen zu geben. Betroffene sollen auch über die Quellen der verschiedenen personenbezogenen Daten informiert werden und, wo dies angemessen ist, berechtigt sein, ihre Daten zu berichtigen und effektive Werkzeuge zu deren Kontrolle zu erhalten. • Wo dies angemessen ist, den Betroffenen Auskunft über die wichtigen Faktoren und Kriterien für Entscheidungen (Algorithmen) zu gewähren, die als Basis für die Entwicklung des Profils genutzt wurden. Solche Informationen sollten in einem klaren und verständlichen Format dargestellt werden. • Eine Vorabkontrolle (Privacy Impact Assessment) ist durchzuführen, besonders, wenn die Analyse von Big Data eine neue oder unerwartete Nutzung personenbezogener Daten beinhaltet. • Big Data-Technologien nach den Prinzipien des “Privacy by Design" zu entwickeln und zu nutzen. • Zu prüfen, wo die Nutzung anonymisierter Daten den Schutz der Privatsphäre verbessern kann. Anonymisierung kann bei der Bewältigung der Risiken für die Privatsphäre helfen, die mit Big Data-Analysen zusammenhängen, aber nur, wenn die Anonymisierung angemessen entwickelt und gehandhabt wird. Über die optimale Lösung zur Anonymisierung der Daten sollte fallweise entschieden werden, möglicherweise durch Kombination verschiedener Techniken. • Bei der Weitergabe oder Publikation pseudonymisierter oder in anderer Weise indirekt identifizierbarer Datensätze große Vorsicht walten zu lassen und in Übereinstimmung mit dem anwendbaren Datenschutzrecht zu handeln. Wenn die Daten hinreichend Details enthalten, mit anderen Datensätzen verknüpft werden können oder personenbezogene Daten enthalten, sollte der Zugang beschränkt und kontrolliert werden. • Nachzuweisen, dass Entscheidungen über die Nutzung von Big Data fair, transparent und verantwortlich sind. Im Zusammenhang mit der Nutzung von Daten für Profilbildungs- 171 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht zwecke erfordern sowohl die Profile als auch die zugrundeliegenden Algorithmen ständige Überprüfung. Dies verlangt regelmäßige Untersuchungen, um nachzuweisen, ob die Ergebnisse der Profilbildung verantwortlich, fair und ethisch und vereinbar und proportional zu den Zwecken sind, für die die Profile genutzt werden. Ungerechtigkeiten für Betroffene aufgrund vollautomatischer falsch-positiver oder falschnegativer Ergebnisse sollten vermieden werden und es sollte stets eine manuelle Überprüfung von Ergebnissen mit signifikanten Auswirkungen auf Betroffene verfügbar sein. 27.2 Erklärung zum Internet der Dinge Balaclava - 14. Oktober 2014 Das Internet der Dinge wird bleiben. Immer mehr Gegenstände sind mit dem Internet verbunden und in der Lage, miteinander zu kommunizieren, manchmal ohne dass die Nutzenden dies bemerken. Diese Gegenstände können unser Leben sehr viel einfacher machen. Zum Beispiel bei der Gesundheitsversorgung, beim Transport oder der Energieversorgung können die verbundenen Gegenstände die Art und Weise verändern, mit der wir etwas erledigen. Das Internet der Dinge kann allerdings auch intime Details über das Handeln und die Bewegungen der Eigentümer von Gegenständen mithilfe der in ihnen enthaltenen Sensoren offenbaren. Selbstbestimmung ist ein unveräußerliches Recht aller Menschen. Die persönliche Entwicklung sollte nicht dadurch festgelegt werden, was Unternehmen und Regierungen über den Einzelnen wissen. Die Ausbreitung des Internets der Dinge vergrößert allerdings das Risiko, dass dies geschehen wird. Die versammelten Beauftragten für Datenschutz und Privatsphäre haben deshalb die Möglichkeiten des Internets der Dinge und seine Konsequenzen während der 36. Internationalen Datenschutzkonferenz diskutiert, die in Balaclava, Mauritius am 13./14. Oktober 2014 stattfand. Vier Redner, die sowohl den wirtschaftlichen Sektor als auch die Wissenschaft repräsentierten, stellten den Beauftragten die positiven Veränderungen wie auch die Risiken vor, die das Internet der Dinge in unser tägliches Leben bringen kann. Die Redner gaben außerdem einen Überblick darüber, was getan werden muss, um den weiteren Schutz unserer personenbezogenen Daten wie auch unseres Privatlebens sicherzustellen. Die anschließende Diskussion führte zu den folgenden Empfehlungen: • Die beim Internet der Dinge verwendeten Sensoren erzeugen Daten in hoher Quantität, Qualität und Sensitivität. Dies bedeutet, dass sehr viel weiterreichende und sensitivere Folgerungen gezogen werden können und die Herstellung eines Personenbezugs wahrscheinlicher ist als dessen Vermeidung. Angesichts der Tatsache, dass die Personenbeziehbarkeit und der Datenschutz im Zusammenhang mit “Big Data” an sich schon eine große Herausforderung sind, ist es deutlich, dass Datenmengen, die von Gegenständen im Internet der Dinge gewonnen werden, diese Herausforderungen um 172 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht ein Vielfaches vergrößern. Deshalb sollten solche Daten als personenbezogen angesehen werden. • Obwohl für viele Unternehmen das Geschäftsmodell noch unbekannt ist, liegt der Wert des Internets der Dinge eindeutig nicht nur in den Geräten selbst. Das finanzielle Interesse liegt in den neuen Diensten im Zusammenhang mit dem Internet der Dinge und in den Daten. • Jeder, der heute lebt, wird erkennen, dass Konnektivität allgegenwärtig ist. Dies mag noch mehr der Fall sein für die junge und zukünftige Generation, die sich keine Welt ohne Vernetzung vorstellen können. Es sollte aber nicht allein ihre Aufgabe sein, ob ihre Daten geschützt werden oder nicht. Es ist eine gemeinsame Verantwortung aller Handelnden in der Gesellschaft, damit das Vertrauen in vernetzte Systeme aufrechterhalten werden kann. Dafür ist Transparenz von entscheidender Bedeutung: Wer Dienstleistungen im Internet der Dinge anbietet, sollte klar sagen, welche Daten er sammelt, für welche Zwecke und wie lange diese Daten gespeichert werden. Er sollte Überraschungen für Verbraucher ausschließen. Beim Kauf von Gegenständen des Internets der Dinge oder entsprechender Programme sollte eine angemessene ausreichende und verständliche Information zur Verfügung stehen. Gegenwärtige Datenschutzerklärungen vermitteln nicht immer die Information in einer klaren, verständlichen Weise. Einwilligungen, die auf der Basis solcher Datenschutzerklärungen erteilt werden, können kaum als informierte Einwilligungen angesehen werden. Unternehmen müssen ihre Herangehensweise grundlegend verändern, damit Datenschutzerklärungen nicht länger in erster Linie dem Zweck dienen, sie vor Klagen zu schützen. • Die Datenverarbeitung beginnt in dem Moment der Datenerhebung. Alle Schutzmaßnahmen sollten ab diesem Zeitpunkt greifen. Wir ermutigen zur Entwicklung von Technologien, die neue Wege der Einbeziehung von Datenschutz und Verbraucherschutz von Anfang an ermöglichen. “Privacy by Design and Default” sollte nicht länger als etwas Abseitiges betrachtet werden. Beide Prinzipien sollten ein wesentliches Verkaufsargument für innovative Technologien werden. • Das Internet der Dinge wirft auch wesentliche Sicherheitsrisiken auf, die beherrscht werden müssen. Eine einfache Firewall reicht längst nicht mehr aus. Ein Weg, um das Risiko für Betroffene zu begrenzen, liegt darin, dass man die Datenverarbeitung auf das Endgerät selbst beschränkt (lokale Verarbeitung). Wenn dies nicht möglich ist, sollten Unternehmen Ende-zu-Ende Verschlüsselung vorsehen, um die Daten vor ungerechtfertigter Einwirkung oder Manipulation zu schützen. • Die Datenschutz- und Privatsphäre-Behörden werden weiterhin die Entwicklungen beim Internet der Dinge beobachten. Sie machen es sich zur Aufgabe, die Befolgung der Datenschutzgesetze in ihren jeweiligen Ländern sicherzustellen, ebenso wie die Einhaltung der international akzeptierten 173 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Prinzipien. Wenn Rechtsverstöße festgestellt werden, werden sie angemessene Sanktionsmaßnahmen ergreifen, entweder einseitig oder durch internationale Zusammenarbeit. • Angesichts der Herausforderungen, denen sich die Entwickler im Internet der Dinge, die Datenschutzbehörden und die Betroffenen gegenübersehen, sollten sich alle Beteiligten an einer starken, aktiven und konstruktiven Debatte zu den Konsequenzen des Internets der Dinge und der aus ihm gewonnen großen Datenmenge beteiligen, um das Bewusstsein für die zu treffenden Entscheidungen zu erhöhen. 174 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 175 Unabhängiges Datenschutzzentrum Saarland, 24. Tätigkeitsbericht 176 Unabhängiges Datenschutzzentrum Saarland, 24. Tätigkeitsbericht 28 Informationsfreiheitsgesetz 28.1 Informationszugang zu Akten des Ministeriums der Justiz Ein Petent beantragte Informationszugang nach dem Saarländischen Informationsfreiheitsgesetz (SIFG) zu Akten, die über ihn beim Ministerium der Justiz geführt werden. Es handelte sich um Vorgänge, die sich mit der Ausübung des Rechts auf Leitung und Aufsicht durch das Justizministerium (§ 147 Gerichtsverfassungsgesetz (GVG)) über die Staatsanwaltschaft Saarbrücken, sowie mit der Ausübung der Dienstaufsicht (§ 13 Abs. 1 Nr. 1 Saarländisches Ausführungsgesetz zum GVG (SAG GVG)) über die Gerichte befassten. Das Ministerium lehnte den Antrag im Wesentlichen mit der Begründung ab, die Ausübung der Aufsicht über die Staatsanwaltschaft sei nicht Verwaltungstätigkeit, sondern vielmehr dem Bereich der Rechtsprechung zuzuordnen. Daher könne das SIFG schon keine Anwendung finden. Außerdem seien die Regelungen der Strafprozessordnung (StPO) als anwendungsvorrangige, abschließende Spezialvorschriften anzusehen sind. Ein Informationszugang wurde daher abgelehnt. Der Petent legte daraufhin Widerspruch ein und bat uns, parallel zur Durchführung des Vorverfahrens, um Stellungnahme. Wir teilten sowohl dem Petenten als auch dem Ministerium der Justiz unsere Rechtsauffassung mit, nämlich, dass ein Zugang zu den begehrten Informationen zu gewähren sei. Die vom Ministerium der Justiz vorgebrachten Argumente griffen unserer Auffassung nach im Ergebnis nicht durch. Entsprechend der Rechtsprechung des Bundesverwaltungsgerichts unterfällt die Aufsichtstätigkeit des Justizministeriums dem Bereich der öffentlichen Verwaltung und nicht der Judikative, mit der Folge, dass der Anwendungsbereich des SIFG hier eröffnet ist. Denn anders als der Bereich der Judikative deren Ziel die Rechtsfindung, Rechtsverwirklichung und Rechtsdurchsetzung ist, geht es bei der Aufsicht über die Staatsanwaltschaft darum die parlamentarische Verantwortung zu sichern. Und genau diesen Zweck, nämlich die Transparenz staatlichen Handelns zu gewährleisten, verfolgt auch das SIFG. Auch konnten wir keinen Vorrang der Akteneinsichtsrechte nach §§ 147 Abs. 1 und 475 StPO erkennen. Nach unserer Auffassung fehlte es bereits an vergleichbaren, im Ausschließlichkeitsverhältnis stehenden Sachverhalten, da über die Akteneinsichtsgesuche nach StPO andere Stellen entscheiden als die Stelle, gegen die sich der vorliegende Informationsfreiheitsantrag richtete. Nach Ablehnung des Widerspruchs durch das Ministerium der Justiz reichte der Petent Klage beim Verwaltungsgericht ein. Mit dem Urteil wurde ihm jedoch nur teilweise Zugang zu den begehrten Informationen gewährt. Das Gericht bewertete die Berichtsvorgänge der Staatsanwaltschaft als materiell der Strafrechtspflege zuzuordnende Dokumente und nicht als 177 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht andere allgemeine Verwaltungsangelegenheiten. Die Fertigung der Berichte sei eine der Staatsanwaltschaft zugewiesene Aufgabe. Sie könne diese Aufgabe allein auf der Grundlage ihrer als Einrichtung der Strafrechtspflege gewonnenen Informationen wahrnehmen. Durch die Berichte solle die Landesjustizverwaltung in die Lage versetzt werden, den wesentlichen Gegenstand der Berichtssachen zu beurteilen und die ihr von Gesetzes wegen obliegende Aufsichts- und Leitungsfunktion wahr zu nehmen. Ein Akteneinsichtsrecht nach § 1 Satz 1 SIFG scheide aus, weil dem SIFG die abschließenden Regelungen der StPO zur Akteneinsicht vorgehen. Zu den Akten, eine Dienstaufsichtsbeschwerde bzw. eine Zwangsvollstreckungsmaßnahme betreffend, erhält der Kläger Informationszugang, da es sich hierbei um Verwaltungsvorgänge handelt und Ausschlussgründe nicht geltend gemacht wurden. Leider wurde das Verfahren durch den Kläger nicht weiterverfolgt. Wir hätten eine Entscheidung des Oberverwaltungsgerichts des Saarlandes begrüßt, da wir weiterhin der Ansicht sind, dass grundsätzlich auf der Grundlage des (S)IFG ein Zugang zu Berichtsakten beim Ministerium der Justiz besteht. Mittlerweile gibt es auch in der juristischen Literatur Stimmen, die im Ergebnis unsere Ansicht teilen (z.B. Rixecker in „Verborgene Räume der Strafaktenführung“, Festschrift für Klaus Tolksdorf, 2014, Seite 365ff.). 28.2 Informationszugang zu einem Erschließungsvertrag Ein großes Handelsunternehmen plante an seinem Stammsitz in einer saarländischen Kleinstadt umfangreiche Erweiterungsmaßnahmen. Auf der Basis eines Bebauungsplanes hatte die Stadt mit dem Handelsunternehmen einen Erschließungsvertrag geschlossen. Der Antrag eines Bürgers auf Informationszugang zu diesem Erschließungsvertrag wurde von der Stadt anfänglich weder beschieden noch wurde Informationszugang gewährt. Der Bürger wandte sich mit einer Eingabe an uns. Anlässlich eines Termins bei der zuständigen unteren Bauaufsicht der Stadt erhielten wir Einblick in den Erschließungsvertrag. Es waren keinerlei Ausschlussgründe erkennbar und wir empfahlen, dem Antrag auf Informationszugang stattzugeben. Der für die Bearbeitung zuständigen Bauamtsleiter ließ allerdings erkennen, dass er dennoch den Antrag ablehnen werde. Im ablehnenden Bescheid waren die Ablehnungsgründe auf 35 Seiten dargestellt. Die Anwendbarkeit der Informationsfreiheitsgesetze auf Kommunen wurde grundsätzlich verneint. Als Ablehnungsgründe wurden unter anderem genannt: - die Sperrwirkung des Kommunalrechts und weiterer öffentlichrechtlicher Spezialvorschriften, - wegen des gebotenen Schutzes der gemeindlichen städtebaulichen und verkehrlichen Entwicklungsinteressen, - wegen des Schutzes der gemeindlichen Funktion, die in den kommunal verfassungsrechtlichen Organen manifestiert sind, 178 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht - wegen des gebotenen Schutzes der Standortinteressen des/der Unternehmen und der Gemeinde, Das Unabhängige Datenschutzzentrum verfasste hierzu eine rechtliche Bewertung, in der die Ablehnungsgründe allesamt widerlegt wurden und stellte sie dem Antragsteller zur Verfügung. Diese wurde dann zur Basis des Widerspruchs, den der Antragsteller beim zuständigen Kreisrechtsausschuss einlegte. Der Kreisrechtsausschuss gab dem Widerspruch in vollem Umfang statt und verpflichtete die Stadt, Zugang zum Erschließungsvertrag zu gewähren. Damit wurde dargelegt, dass das Saarländische Informationsfreiheitsgesetz (SIFG) grundsätzlich auf Kommunen anwendbar ist. Weder im ablehnenden Bescheid der Kreisstadt noch vor dem Kreisrechtsausschuss wurden Gründe nach dem IFG substantiell angeführt, die dem Antragsteller den Zugang zum Erschließungsvertrag verwehren konnten. Insbesondere wurden durch das Handelsunternehmen auch keine schutzwürdigen Interessen vorgebracht. Der Vorgang zeigt, dass es sich durchaus lohnen kann, das Recht auf Informationszugang zu verfolgen. 28.3 Anspruch auf Akteneinsicht in Disziplinarverfahren Im Berichtszeitraum trat ein Petent, dessen Antrag auf Akteneinsicht im Zusammenhang mit einem Disziplinarverfahren gegen Beamte einer saarländischen Gemeinde abgelehnt wurde, an die Aufsichtsbehörde heran. Aus Sicht der Aufsichtsbehörde stellte sich zunächst die Frage, ob der Petent als Betroffener einen Auskunftsanspruch über die zu seiner Person gespeicherten Daten nach den Regelungen des § 20 Saarländisches Datenschutzgesetz (SDSG) oder einen allgemeinen Informationsanspruch nach dem Saarländischen Informationsfreiheitsgesetz (SIFG) geltend machen wollte. Da der Petent daraufhin mitteilte, dass er Dienstaufsichtsbeschwerde bei einer Gemeinde gegen dessen Beschäftigte eingelegt hatte, demnach also keine eigene Betroffenheit vorlag, war der Anspruch auf der Grundlage des SIFG zu prüfen. Diese Vorschrift räumt jedem einen voraussetzungslosen Anspruch gegenüber den Behörden des Landes, der Gemeinden und Gemeindeverbände auf Zugang zu amtlichen Informationen ein. Dieser grundsätzliche Informationsanspruch wiederum wird durch die Ausnahmetatbestände gemäß § 1 S. 1 SIFG i. V. m. §§ 3 bis 6 und 9 Abs. 3 Informationsfreiheitsgesetz des Bundes (IFG-Bund) sowie § 2 SIFG eingeschränkt. Vorliegend war zu prüfen, ob der Schutz personenbezogener Daten i. S. d. § 5 IFG-Bund dem Informationsinteresse des Antragstellers entgegen stand. Dabei ist im Rahmen der Prüfung der Informationsgewährung gemäß § 5 Abs. 1 S. 1 IFG-Bund eine Rechtsabwägung zwischen den Interessen des Beschwerdeführers und dem schutzwürdigen Interesse des Dritten, hier der Beschäftigten, am Ausschluss des Informationszugangs durch- 179 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht zuführen. Gemäß § 5 Abs. 2 IFG-Bund überwiegt das Interesse des Antragstellers nicht bei Informationen aus Unterlagen, soweit sie mit dem Dienst- oder Amtsverhältnis des Dritten in Zusammenhang stehen. Der Gesetzgeber geht davon aus, dass auch Akten aus Disziplinarverfahren, Arbeitsgerichtsprozessen und Beamtenrechtsprozessen geschützt sind. Hier war davon auszugehen, dass sowohl Akten aus dem Dienstaufsichtsverfahren als auch die Akten eines Disziplinarverfahrens durch § 5 Abs. 2 IFG-Bund geschützt sind und somit dem Informationsanspruch des Petenten entzogen waren. Abschließend wurde dem Petenten mitgeteilt, dass ein Anspruch auf Zugang zu den gewünschten Informationen nach den Vorschriften der Informationsfreiheitsgesetze nicht bestand. 28.4 Informationszugang zu Telefonlisten Der Informationszugang zu Telefonlisten von Behörden wird häufig begehrt, da die „Kunden“ bestimmter Einrichtungen (Jobcenter, Finanzämter, etc.) gerne den direkten Kontakt zur zuständigen Stelle suchen und nicht mit einem Call-Center sprechen möchten. Bislang ist uns kein Fall bekannt geworden, dass Telefonlisten von saarländischen Behörden nicht herausgegeben wurden. Es zeigt sich jedoch in der Rechtsprechung, dass ein Anspruch auf Informationszugang zu Telefonlisten nicht allgemein besteht. Den Entscheidungen liegen geringfügig abweichende Sachverhalte zugrunde. Zum einen waren die Antragsteller Anwälte und begehrten Zugang zu Telefonlisten der Bearbeiter mit Außenkontakten (VG Aachen, 8 K 532/11 v. 17.7.2013; VG Gießen, 4 K 2911/13 v. 24.2.2014). Zum andern waren es Bürger, die eine komplette Telefonliste erhalten wollten (VG Ansbach, AN 4 K 13.01194 v.27.5.2014). Im ersten Fall wurden dem Informationszugang entsprochen, im zweiten nicht. Nachfolgend eine Zusammenfassung der Begründungen: Fall 1: Bei den streitigen Telefonnummern handelt es sich um amtliche Informationen. § 2 Nr. 1 IFG-Bund enthält keine Einschränkung des Informationszugangs auf einen konkreten Verwaltungsvorgang. Telefonlisten kommen einem Organisationsplan gleich. Name, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung, Büroanschrift und Bürotelekommunikationsnummer von Behördenmitarbeitern sind vom Informationszugang nicht ausgeschlossen, soweit sie Ausdruck und Folge der amtlichen Tätigkeit sind und kein Ausnahmetatbestand erfüllt ist. Der Ausnahmetatbestand des § 5 Abs. 1 IFG-Bund gilt nicht für Amtsträger, soweit es um die Weitergabe von Daten geht, die sich auf ihre Amtsträgerfunktion beziehen (§ 5 Abs. 4 IFG-Bund). 180 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Fall 2: Es werden Zweifel gehegt, ob Telefonlisten amtliche Informationen sind, da der Zugang zu amtlichen Informationen nur im Rahmen eines konkreten Vorgangs zu gewähren ist (lt. Gesetzesbegründung). Telefonlisten seien keinem konkreten Vorgang zugeordnet. Selbst wenn man annehmen würde, dass es sich um amtliche Informationen handeln würde, gelte der Ausnahmetatbestand des § 5 Absatz 1 IFG-Bund (Schutz personenbezogener Daten) und es sei eine Interessenabwägung vorzunehmen. Ein Fall des § 5 Abs. 4 IFG-Bund liege nicht vor, da der Bezug zu einem konkreten Vorgang fehle. Der Gesetzgeber habe den Begriff „Bearbeiter“ gewählt um die Beschäftigung mit einem Vorgang zu implizieren. Diese Entscheidungen machen es uns nicht leichter, Empfehlungen allgemeiner Art zu geben. Sie zeigen uns, dass die Gerichte in der Betrachtung selbst gleichartiger Sachverhalte zu unterschiedlichen Ergebnissen kommen können. Im Resultat ergibt sich für uns die Notwendigkeit, jede Anfrage einer Einzelfallbetrachtung zu unterziehen, um zu einer ausgewogenen Entscheidung zu gelangen. 181 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 29 Entschließungen der IFK 29.1 Für einen effektiven presserechtlichen Auskunftsanspruch gegenüber allen Behörden – auch des Bundes 27. Juni 2013 Das Bundesverwaltungsgericht hat mit Urteil vom 20. Februar 2013 entschieden, dass die Pressegesetze der Länder keine Verpflichtung von Bundesbehörden zur Auskunftserteilung an Journalistinnen und Journalisten begründen. Die Gesetzgebungskompetenz für den presserechtlichen Auskunftsanspruch gegenüber Bundesbehörden liege danach beim Bund. Eine entsprechende Auskunftsverpflichtung existiert bislang nicht. Das Bundesverwaltungsgericht sieht einen unmittelbar aus der Garantie der Pressefreiheit abgeleiteten „Minimalstandard von Auskunftspflichten“ und einen einklagbaren, ebenfalls unmittelbar aus Art. 5 Abs. 1 Satz 2 GG abgeleiteten Rechtsanspruch auf Auskunft, soweit dem nicht berechtigte schutzwürdige Vertraulichkeitsinteressen von Privatpersonen oder öffentlichen Stellen entgegenstehen. Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland begrüßt die Entscheidung des Bundesverwaltungsgerichtes insofern, als damit der Auskunftsanspruch von Journalistinnen und Journalisten grundrechtlich abgeleitet und abgesichert wird. Aus Sicht der Konferenz gilt es - unabhängig von der kontrovers diskutierten Regelungszuständigkeit - die notwendigen gesetzlichen Grundlagen für eine effektive journalistische Recherche herzustellen, die eine zeitnahe, aktuelle und profunde Berichterstattung ohne abschreckende Kostenhürden möglich machen. Das Urteil, das einen unscharfen, beliebig interpretierbaren Minimalstandard mit unklaren Grenzen und Beschränkungsmöglichkeiten zugesteht, darf hier jedenfalls nicht das letzte Wort sein! Bundesbehörden müssen denselben Auskunftspflichten unterliegen wie Landesbehörden. 29.2 Open Data stärkt die Informationsfreiheit – sie ist eine Investition in die Zukunft! 27. Juni 2013 Die gesellschaftlichen Erwartungen an einen transparenten Staat gehen inzwischen weit über das bisherige Recht der Bürgerinnen und Bürger, einen Antrag auf Informationszugang zu stellen, hinaus. Open Data – also die aktive Bereitstellung öffentlicher Informationen im Internet – wird auf den ersten Portalen bereits praktiziert. Zahlreiche Projekte befinden sich im Aufbau. Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland begrüßt diese Entwicklungen ausdrücklich und formuliert in einem Positionspapier wesentliche Anforderungen an eine moderne Transparenz-gesetzgebung. 182 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Die Konferenz hält Regelungen in den Informationsfreiheits- und Transparenzgesetzen für erforderlich. Diese müssen um geeignete Instrumente zur Veröffentlichung von Informationen ergänzt werden. Datenbestände öffentlicher Stellen dürfen grundsätzlich nicht durch Urheberrecht oder Nutzungsbeschränkungen blockiert werden. Um Urheberrechten Dritter Rechnung zu tragen, sollten öffentliche Stellen mit diesen die Einräumung der Nutzungsrechte vertraglich vereinbaren. 29.3 Transparenz bei Sicherheitsbehörden 27. Juni 2013 Im Zusammenhang mit den Enthüllungen der umfassenden und anlasslosen Überwachungsmaßnahmen des US-amerikanischen und des britischen Geheimdienstes wurde bekannt, dass auch ein großer Teil des Kommunikationsverhaltens der Bürgerinnen und Bürger in Deutschland ohne ihr Wissen von diesen Geheimdiensten überwacht worden ist. Die Konferenz der Informationsfreiheitsbeauftragten fordert die Verantwortlichen in Deutschland und Europa auf, für Transparenz auf nationaler und internationaler Ebene zu sorgen. Das Vertrauen der Bevölkerung kann nur zurückgewonnen werden, wenn die Aufgaben und Befugnisse der Sicherheitsbehörden völkerrechtlich festgelegt und deren tatsächliche Arbeitsweisen nachvollziehbar sind. Zweifellos verfügen die Nachrichtendienste über Informationen, die nicht offengelegt werden dürfen. Gleichwohl hält die Konferenz die pauschale Ausnahme der Nachrichtendienste des Bundes und der Länder vom Anwendungsbereich der Informationsfreiheits- und Transparenzgesetze für nicht hinnehmbar und erwartet von den Gesetzgebern entsprechende Verbesserungen. Darüber hinaus bedürfen die weit gefassten Ausnahmeregelungen für Sicherheitsbelange in den Informationsfreiheits- und Transparenzgesetzen einer Überprüfung und Einschränkung. Die Informationsfreiheitsbeauftragten unterstützen die Verbesserung der Transparenz der nachrichtendienstlichen Aktivitäten gegenüber den Parlamenten und schließlich die Stärkung der parlamentarischen Kontrollgremien. 29.4 Verbraucher durch mehr Transparenz im Lebensmittelbereich schützen – Veröffentlichungspflichten für Hygieneverstöße jetzt nachbessern! 27. Juni 2013 Mit der Reform des Verbraucherinformationsrechts zum 1. September 2012 hat der Gesetzgeber als Reaktion auf die Lebensmittelskandale der letzten Jahre mit § 40 Abs. 1a Lebensmittel- und Futtermittelgesetzbuch (LFGB) eine Rechtsgrundlage für die Veröffentlichung von Hygieneverstößen durch die zuständigen Behörden geschaffen. Schon 183 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht im damaligen Gesetzgebungsverfahren hatte die Konferenz der Informationsfreiheitsbeauftragten darauf hingewiesen, dass die Vorschrift zu undifferenziert sei. Nachdem zahlreiche Bundesländer begonnen hatten, Verbraucherinnen und Verbraucher auf eigens dafür geschaffenen Internetplattformen über entsprechende Hygieneverstöße zu informieren, sind die Veröffentlichungen durch eine Reihe von verwaltungsgerichtlichen Entscheidungen in Baden-Württemberg, Bayern, Berlin, Nordrhein-Westfalen und Rheinland-Pfalz gestoppt worden. Nach Auffassung der Gerichte greift § 40 Abs. 1a LFGB unter anderem deshalb unverhältnismäßig in die Rechte der betroffenen Unternehmen ein, weil die Vorschrift schon bei geringen Verstößen eine Veröffentlichung zulasse und keine Grenzen für die Dauer der Veröffentlichung vorsehe. Die Informationsfreiheitsbeauftragten des Bundes und der Länder appellieren daher an die Bundesregierung, dringend die lebensmittelrechtlichen Vorschriften über die Information der Öffentlichkeit zu überarbeiten und wie vom Bundesrat angeregt im Fachdialog mit den Ländern ein Transparenzsystem zu schaffen, das in eine rechtskonforme und effektive Gesamtkonzeption eingebunden wird. Nach der Rechtsprechung sind als Kriterien für eine Neuregelung der Veröffentlichungspflicht im Sinne des § 40 Abs. 1a LFGB insbesondere die Schwere des Rechtsverstoßes, eine behördliche Hinweispflicht auf die Tatsache und den Zeitpunkt der Mängelbeseitigung, Löschungspflichten sowie Ermessens- und Härtefallregelungen in Erwägung zu ziehen. Umfassende Transparenz bei der Lebensmittelsicherheit darf nicht als Belastung für die Betriebe verstanden werden. Vielmehr ist dies der einzige Weg, das Vertrauen von Verbraucherinnen und Verbrauchern in die Qualität der Lebensmittel langfristig herzustellen und zu wahren. 29.5 Forderungen für die neue Legislaturperiode: Informationsrechte der Bürgerinnen und Bürger stärken! 28. November 2013 Der freie Zugang der Bürgerinnen und Bürger der Bundesrepublik Deutschland zu den Informationen der öffentlichen Stellen muss auch in Deutschland ein fester Bestandteil der verfassungsrechtlich garantierten Rechte werden. Transparenz ist eine wesentliche Grundlage für eine funktionierende freiheitlich demokratische Gesellschaft. Sie ist der Nährboden für gegenseitiges Vertrauen zwischen staatlichen Stellen und den Bürgerinnen und Bürgern. Es reicht nicht aus, dass Informationen nur auf konkreten Antrag hin herauszugeben sind. In Zukunft sollten öffentliche und private Stellen, die öffentliche Aufgaben wahrnehmen, verpflichtet sein, Informationen von sich aus zur Verfügung zu stellen. Auf diese Weise wird der Zugang zu Informationen für alle erleichtert und der Aufwand der Informationserteilung reduziert. Die Bundesrepublik Deutschland muss jetzt die nötigen gesetzlichen Regelungen für ein modernes Transparenzrecht schaffen, um mit den 184 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht internationalen Entwicklungen Schritt zu halten und die Chancen der Transparenz wahrzunehmen. Die Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder fordert daher alle Beteiligten in Bund und in den Ländern auf, sich für die Stärkung der Transparenz auf nationaler, europäischer und internationaler Ebene einzusetzen. Sie fordert insbesondere: den Anspruch auf freien Zugang zu amtlichen Informationen endlich in alle Verfassungen aufzunehmen, einen gesetzlich geregelten effektiven Schutz von Whistleblowern, die über Rechtsverstöße im öffentlichen und nichtöffentlichen Bereich berichten, ein einheitliches Informationsrecht zu schaffen, das die Regelungen des Informationsfreiheitsgesetzes, des Umweltinformationsgesetzes und des Verbraucherinformationsgesetzes in einem Gesetz zusammenfasst, dass das Informationsfreiheitsrecht im Sinne eines Transparenzgesetzes mit umfassenden Veröffentlichungspflichten nach den Open-Data-Grundsätzen weiterentwickelt wird, aus der vom Bundestag in Auftrag gegebenen Evaluation des Bundesinformationsfreiheitsgesetzes die notwendigen Konsequenzen zu ziehen und die Ausnahmeregelungen auf das verfassungsrechtlich zwingend gebotene Maß zu beschränken, die Bereichsausnahme für die Nachrichtendienste abzuschaffen, die entsprechende Ausnahmeregelung auf konkrete Sicherheitsbelange zu beschränken und den Umgang mit VerschlussSachen gesetzlich in der Weise zu regeln, dass die Klassifizierung von Unterlagen als geheimhaltungsbedürftig regelmäßig von einer unabhängigen Instanz überprüft, beschränkt und aufgehoben werden kann, Transparenz der Kooperationen auch zwischen privaten und wissenschaftlichen Einrichtungen sicherzustellen, die im Rahmen der Wahrnehmung öffentlicher Aufgaben für staatliche Stellen tätig sind. Dies gilt auch und insbesondere für Sicherheitsbehörden, die Berliner Erklärung der 8. Internationalen Konferenz der Informationsfreiheitsbeauftragten zur Stärkung der Transparenz auf nationaler und internationaler Ebene vom 20. September 2013, insbesondere die Anerkennung eines Menschenrechts auf Informationszugang im Rahmen der Vereinten Nationen, den Beitritt der Bundesrepublik zur Open Government Partnership und zur Tromsö-Konvention des Europarats (Konvention des Europarates über den Zugang zu amtlichen Dokumenten) umzusetzen. Die Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder bietet ihre Unterstützung an. 185 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 29.6 Das Urheberrecht dient nicht der Geheimhaltung! 17. Juni 2014 Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland betrachtet mit Sorge die Entwicklung, dass sich auskunftspflichtige Stellen zur Ablehnung von Anfragen auf das Urheberrecht oder andere Rechte des „Geistigen Eigentums“ berufen. Das Urheberrecht darf nicht dazu eingesetzt werden, staatliche Informationen zurück zu halten. Amtliche Vermerke sind in aller Regel nicht urheberrechtlich geschützt. Gedankliche Inhalte können in ihrer politischen, wirtschaftlichen oder gesellschaftlichen Aussage nicht über das Urheberrecht monopolisiert werden, sondern müssen vielmehr Gegenstand der freien geistigen Auseinandersetzung bleiben. Mit Steuermitteln finanzierte und für die Erfüllung einer öffentlichen Aufgabe erstellte Vermerke dürfen nicht unter Berufung auf Rechte des „Geistigen Eigentums“ zurückgehalten werden. Hintergrund insbesondere des urheberrechtlichen Schutzes ist die Garantie einer angemessenen Vergütung der Urheber. Diese ist aber nicht bedroht, wenn Werke betroffen sind, die in Erfüllung dienstlicher Pflichten erstellt wurden. Nur in Ausnahmefällen kann es sein, dass von Dritten für staatliche Stellen erstellte Gutachten tatsächlich dem Urheberrecht unterfallen und die Dritten schutzbedürftig sind. Wer mit der Verwaltung Verträge schließt, muss wissen, dass diese an gesetzliche Transparenzpflichten gebunden ist, die sich nicht abbedingen lassen. Wo dies nicht bereits gesetzlich vorgeschrieben ist, sollen sich die staatlichen Stellen in solchen Fällen das Recht an einer Herausgabe einräumen lassen. Soweit diese Stellen einem Informationsfreiheitsgesetz unterliegen, ist es ihre Pflicht, dafür Sorge zu tragen, dass Rechte Dritter nicht einem gesetzlichen Informationszugang entgegenstehen. Was mit staatlichen Mitteln für die Verwaltung von staatlichen Stellen oder Dritten hergestellt wird, muss grundsätzlich zugänglich sein. 29.7 Keine Flucht vor der Informationsfreiheit ins Privatrecht! 17. Juni 2014 Es ist für weite Bereiche der Rechtsordnung anerkannt, dass der Staat sich nicht durch Wahl einer privaten Rechtsform seiner verfassungsrechtlichen Bindungen entledigen kann. Für das Recht aller Bürgerinnen und Bürger, sich voraussetzungslos über staatliches oder kommunales Handeln zu informieren, gilt dies leider nicht in gleichem Maße. Entscheidet sich der Staat für eine formale Privatisierung und erledigt eine öffentliche Aufgabe durch eine juristische Person des Privatrechts, so ist diese nach vielen Informationsfreiheitsgesetzen nicht direkt auskunftsverpflichtet. Informationszugang muss für alle Unterlagen gelten, die im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen. Dabei darf es nicht darauf ankommen, ob die Aufgaben durch Behörden oder durch Private, an denen die öffentliche Hand mehrheitlich beteiligt ist, 186 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht wahrgenommen werden. Ebenso wenig kommt es auf die Rechtsform an, in der jeweils gehandelt wird. Da häufig gerade die Bereiche privatisiert werden, die über große Finanzvolumina verfügen, ist hier die Herstellung von Transparenz hinsichtlich der Verwendung öffentlicher Steuermittel besonders wichtig. Bereits 2003 hatten die Informationsfreiheitsbeauftragten die Gesetzgeber im Bund und in den Ländern dazu aufgerufen, die Herstellung von Transparenz nicht davon abhängig zu machen, in welcher Form die öffentliche Aufgabe erledigt wird. Leider ist diese Forderung längst nicht überall umgesetzt worden. Es gilt weiterhin: Für die Auskunftsverpflichtung sollte allein entscheidend sein, ob es sich um eine staatliche oder kommunale Aufgabe, insbesondere eine der Grundversorgung handelt. Bei der Erfüllung öffentlicher Aufgaben müssen Ansprüche auf Auskunft auch direkt gegenüber den Unternehmen geschaffen werden. 29.8 Informationsfreiheit nicht Privaten überlassen Die Anwendung der Informationsfreiheitsgesetze darf nicht von der Rechtsform abhängen, in der öffentliche Aufgaben erledigt werden. Eine Flucht vor der Informationsfreiheit in das Privatrecht ist mit einem modernen Staatsverständnis nicht zu vereinbaren. Informationsfreiheit nicht Privaten überlassen! 17. Juni 2014 Öffentliche Stellen vertreten vielfach die Auffassung, staatliche Transparenz könne durch die Bereitstellung amtlicher Informationen auf von Privaten nach deren Regularien betriebenen Plattformen wie Facebook, Twitter etc. hergestellt werden. Auch wenn derartige Internetdienstanbieter einen großen Nutzerkreis erreichen, stehen kommerzielle Interessen der Betreiber vielfach einem bedingungslosen und freien Informationszugang entgegen. Öffentlichkeit ist gekennzeichnet durch voraussetzungslose, für ausnahmslos alle Menschen bestehende Zugangsmöglichkeiten. Sie kann deshalb nicht durch die Bereitstellung von Inhalten auf Internetseiten und -diensten hergestellt werden, die zum Beispiel ausschließlich durch allgemeine Geschäftsbedingungen Privater geregelt sind, nur Mitgliedern offen stehen oder keinen unbeobachteten Zugang gewähren. Staatliche Transparenz darf nicht durch die Offenbarung personenbezogener Daten erkauft werden. Nur die Veröffentlichung auf von öffentlichen Stellen steuerbaren und der Allgemeinheit kostenfrei und anonym zugänglichen Kanälen genügt den Anforderungen der Herstellung staatlicher Transparenz. Die Konferenz der Informationsfreiheitsbeauftragten fordert, die Veröffentlichung amtlicher Informationen auf ausschließlich von den öffentlichen Stellen selbst gesteuerten Veröffentlichungsmedien vorzunehmen. Eine Steuerung und Kontrolle in diesem Sinne kann beispielsweise auch durch Einzelverträge mit Privaten geschehen. Der im Hamburger Transparenzgesetz formulierte Grundsatz, wonach der Zugang zum Informationsregister kostenlos und anonym ist, sollte in alle Informationsfreiheits- und Transparenzgesetze aufgenommen werden. 187 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 29.9 Mehr Transparenz bei technischen Ermittlungsmethoden – Vertrauen in den Rechtsstaat stärken! 9. Dezember 2014 In den vergangenen Jahren wurden die Ermittlungsbefugnisse für Polizeien, Strafverfolgungsbehörden und Nachrichtendienste kontinuierlich ausgeweitet. Ihnen steht ein beträchtliches Instrumentarium unterschiedlich eingriffsintensiver technischer Maßnahmen zur Verfügung, wie zum Beispiel Funkzellenabfragen, Einsatz von IMSI-Catchern, Telekommunikationsüberwachung und Verkehrsdatenerhebung. Im Rahmen der Erweiterung wurden in die Landespolizeigesetze und die Strafprozessordnung Berichterstattungspflichten aufgenommen. Dadurch sollte garantiert werden, dass die Gesellschaft sich der Auswirkungen dieser neuen Maßnahmen bewusst ist. Eine kritische Überprüfung der Berichtspflichten zeigt, dass eine Transparenz der Auswirkungen solcher Ermittlungsmaßnahmen nicht erreicht wird. Die Berichterstattungspflichten sind nicht nur uneinheitlich geregelt: Zum Teil fehlen für einige Maßnahmen wie zum Beispiel die Bestandsdatenabfrage Berichtspflichten vollständig, zum Teil lassen die bestehenden Berichtspflichten keine hinlänglichen Erkenntnisse über das Ausmaß der Überwachung und insbesondere die Zahl der Betroffenen zu. Die Berichte über Funkzellenabfragen zu Strafverfolgungszwecken lassen etwa nicht erkennen, dass von einer einzelnen gerichtlichen Anordnung tausende Bürgerinnen und Bürger betroffen sein können, die keinen Anlass für die Erhebung ihrer Daten gegeben haben. Das Bundesverfassungsgericht verlangt in seinem Urteil zur Vorratsdatenspeicherung aber gerade, dass der Gesetzgeber eine „Überwachungsgesamtrechnung“ betreibt und beim Erlass neuer Überwachungsregelungen berücksichtigt. Nur so könne verhindert werden, dass die Freiheitswahrnehmung der Bürger total erfasst und registriert wird, denn dies verstieße gegen die verfassungsrechtliche Identität Deutschlands. Deshalb ist es jedenfalls erforderlich, nicht nur die theoretisch bestehenden, vom Gesetz erlaubten Überwachungsmöglichkeiten in den Blick zu nehmen, sondern gerade auch das konkrete Ausmaß ihres Einsatzes sichtbar zu machen. Auf der Grundlage der gegenwärtig veröffentlichten Statistiken und zum Teil schmalen Berichtspflichten ist es nicht möglich, die gesamtgesellschaftlichen Auswirkungen aller Maßnahmen differenziert zu erfassen. Die Konferenz der Informationsfreiheitsbeauftragten fordert die Gesetzgeber in Bund und Ländern daher auf, die bestehenden Verpflichtungen zur Erstellung und Veröffentlichung von Statistiken auf alle Maßnahmen im Rahmen verdeckter Ermittlungsmethoden auszudehnen und sie durch die Angabe der Anzahl der Betroffenen so aussagekräftig zu gestalten, dass sich der Effekt auf die Bevölkerung klar erkennen lässt. Darüber hinaus muss eine gesetzliche Veröffentlichungspflicht für die Berichte der Bundesnetzagentur zur Bestandsdatenabfrage festgeschrieben werden. Eine besondere Bedeutung kommt der Transparenz der Nachrichtendienste zu. Erforderlich ist die Verschärfung bestehender bzw. Schaffung neuer Berichtspflichten gegenüber parlamentarischen Kontroll- 188 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht gremien und Datenschutzbeauftragten und die Verpflichtung zur Aufnahme aussagekräftiger statistischer Angaben zu Überwachungsmaßnahmen in die Verfassungsschutzberichte von Bund und Ländern. Geboten ist insbesondere eine Berichterstattung für den gesamten Bereich der strategischen Auslands-Telekommunikationsüberwachung. Die Transparenz beim Einsatz staatlicher, insbesondere geheimer Ermittlungsmethoden ist neben den datenschutzrechtlichen Anforderungen eine wesentliche Voraussetzung für eine effiziente demokratische Kontrolle sowie die Beurteilung der Angemessenheit des staatlichen Eingriffshandelns und damit eine unabdingbare Wissensgrundlage für das Vertrauen der Bürgerinnen und Bürger in ihren Rechtsstaat. 29.10 Open Data muss in Deutschland Standard werden! 9. Dezember 2014 Die Bundesregierung hat mit der Digitalen Agenda 2014 - 2017, der Digitalen Verwaltung 2020 und dem nationalen Aktionsplan zur Umsetzung der G8 Open-Data-Charta wesentliche Regierungsprogramme zur Etablierung von E- und Open-Government sowie zur Digitalisierung der Verwaltung auf den Weg gebracht. Die Regierungsprogramme sehen aus informationsfreiheitsrechtlicher Sicht u.a. die Einführung einer gesetzlichen Open-Data-Regelung, die Schaffung von Open-DataAnsprechpartnern in den Behörden, die Einführung der elektronischen Verwaltungsakte und eine verstärkte Zusammenarbeit mit den Ländern vor. Die Konferenz der Informationsfreiheitsbeauftragten betont in diesem Zusammenhang das Erfordernis weitgehender gesetzlicher Veröffentlichungspflichten und die Übertragung der Aufgabe des Open-DataAnsprechpartners auf behördliche Informationsfreiheitsbeauftragte. Insbesondere bei Planung und Einführung der eAkte sind Aspekte der Informationsfreiheit und des Datenschutzes frühestmöglich im Anforderungskatalog abzubilden. Schon bei Anlage einer Akte sollten personenbezogene Daten, Betriebs- und Geschäftsgeheimnisse und sonstige Beschränkungen vor einer weiteren Verwendung markiert werden, so dass sie automatisiert ersetzt oder hervorgehoben werden können. Dies erleichtert eine nachfolgende Weitergabe und Weiterverwendung erheblich und unterstützt die aktenführenden Stellen bei der effizienten Bearbeitung von IFG-Anträgen. Es gilt jetzt, die Regierungsprogramme zügig in die Tat umzusetzen, damit Open Data in Deutschland zum Standard werden kann. Die Konferenz fordert die Länder und den Bund auf, soweit noch nicht geschehen, mit dieser Zielsetzung E- und Open-Government-Strategien gemeinsam zu entwickeln. 189 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 29.11 Umfassende und effektive Informationsfreiheitsaufsicht unabdingbar! 9. Dezember 2014 Mit den Informationsfreiheitsgesetzen des Bundes und der Länder wurde der Bundes- bzw. den Landesbeauftragten für Informationsfreiheit die Aufgabe eines „außergerichtlichen Streitschlichters“ im Bereich des allgemeinen Informationsfreiheitsrechts übertragen. Sie kontrollieren die Anwendung der Informationsfreiheitsgesetze, vermitteln in Streitfällen und wirken auf die Einhaltung des geltenden Rechts hin. Im Bund sowie in den meisten Bundesländern verfügen die Informationsfreiheitsbeauftragten jedoch nur über eine eingeschränkte Kontroll- und Beratungskompetenz. Sie überwachen nur die Einhaltung des allgemeinen Informationsfreiheitsrechts, nicht jedoch der besonderen Informationszugangs-rechte, wie z.B. nach dem Umwelt- oder dem Verbraucherinformationsrecht. Diese Situation ist unbefriedigend. Bürgerinnen und Bürger erwarten, dass ihr Informationsanliegen von den Informationsfreiheitsbeauftragten umfassend geprüft wird. Mangels umfassender Kontroll- und Beratungszuständigkeit ist dies jedoch zu häufig nicht der Fall, sodass es im Umwelt- und im Verbraucherinformationsrecht an einer unabhängigen Aufsichtsbehörde fehlt. Auch die wissenschaftlichen Evaluierungsberichte zum Informationsfreiheitsgesetz des Bundes und einiger Länder haben sich dafür ausgesprochen, den Informationsfreiheitsbeauftragten zusätzlich die Kontrollkompetenzen für das besondere Informationsfreiheitsrecht zu übertragen. Im Bereich des Datenschutzes sind die Beauftragten bereits für das besondere Datenschutzrecht zuständig. Dieser Standard muss auch in der Informationsfreiheit hergestellt werden. Die Konferenz der Informationsfreiheitsbeauftragten fordert daher die Gesetzgeber in Bund und Ländern auf, die Kontroll- und Beratungskompetenzen der Informationsfreiheits-beauftragten um das Umweltund das Verbraucherinformationsrecht – wo dies noch nicht geschehen ist - zu erweitern und die Informationsfreiheitsbeauftragten mit ausreichenden personellen und sachlichen Mitteln auszustatten, damit sie ihren gesetzlichen Kontroll- und Beratungsaufgaben nachkommen können. Nur so ist gesichert, dass Bürgerinnen und Bürger bei der Ausübung ihrer Informationsrechte umfassend beraten werden und die Einhaltung der verschiedenen Informationsgesetze unabhängig kontrolliert wird. 190 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 30 Stichwortverzeichnis A AAA-Modell ....................................... 145 Abwehranspruch.............................. 113 Action-Cams ...................................... 108 Adressdaten....................................... 138 AG Medienkompetenz .................... 93 AGB ....................................................... 124 akustische Wohnraumüberwachung ............... 41 ALKIS .................................................... 145 allgemeine Persönlichkeitsrecht............................................ 113, 116 Allgemeinen Geschäftsbedingungen .......................................... 124 Amtsanmaßung ................................ 150 angemessenes Datenschutzniveau..................................................... 12 Anordnung ..................... 119, 131, 133 Antiterrordatei .................................... 51 Antiterrordateigesetz ....................... 52 Apotheke ............................................ 120 App .................................................. 25, 26 Apps........................................................ 24 Aufgabenübertragung .................... 48 Aufstiegserlaubnis............................. 55 Aufstiegsgenehmigung ................ 109 Auftragsdatenverarbeitung ... 48, 63, 125, 136 Ausbildungsverkehr........................ 141 Aushang ................................................ 75 Auskunftsersuchen ......................... 137 Auskunftserteilung ............................ 57 Auskunftssperren .............................. 98 Auskunftsverlangen .......................... 51 Auskunftsverweigerungsgründe . 58 Ausschreibungen ............................... 80 Außenkamera .................................... 114 automatisierte Verarbeitung......... 23 automatisierten Abrufverfahren .. 67 B Back-Office........................................... 62 Beauftragte für den Datenschutz ................................................... 131 Benachrichtigung .............................. 40 Bestandsdaten .................................... 39 Bestandsdatenauskunft .................. 50 Betäubungsmittel ............................ 121 betrieblicher Datenschutzbeauftragter ........................................ 18 Betriebsabsprache............................. 56 Betriebskonzept ................................. 56 Beweisverwertung ........................... 115 Big Data ..................................... 170, 171 Binding Corporate Rules ................ 15 BKA.......................................................... 53 Browser.................................... 36, 37, 38 Bundesmeldegesetz ......................... 65 Bundesverfassungsgericht ............. 39 Bundeswahlordnung ................. 77, 79 Bundeszentralregister ...................... 59 Bürgerinformationssystem ............ 74 Bußgeld .................... 23, 134, 137, 140 Bußgeldverfahren .............................. 44 Busunternehmen ............................. 141 C Campingplatz.................................... 127 Chronik .................................................. 37 Cloud Computing 12, 27, 30, 34, 35, 156 Club....................................................... 124 Cookies ........................................... 36, 37 D Dashcams ........................................... 108 Daten des Immobilieneigentümers ........................................ 81 Datenschutzkonferenz .................. 152 Datenschutzkontrolle ...................... 53 Dienstgeräte ........................................ 70 dienstliche Unterlagen .................... 72 Dienstvereinbarung .......................... 71 DIRI-Web ............................................ 146 Diskotheken....................................... 124 Dokumentenveröffentlichung ...... 74 Drohne ................................................... 55 Drohnen .............................................. 108 Düsseldorfer Kreis ........................... 155 Einwilligung ..........123, 124, 128, 140 Einzelfirma .......................................... 131 Einzelkaufmann ................................ 131 Energieversorger ............................... 80 Errichtungsanordnung .................... 55 EU-Datenschutz-Grundverordnung ................................................ 17 Europäische Gerichtshof (EuGH) . 21 Europawahlordnung ........................ 79 F Fahndung in sozialen Netzwerken........................................ 152 Fahrgasterhebung ........................... 141 Firmenverzeichnis ........................... 131 Franchise ............................................. 134 G G 10-Kommission.............................. 40 191 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsberich Garderobe .......................................... 125 Gastronomie .............................. 99, 118 Geldstrafe ........................................... 151 Geldwäschegesetz ............................ 82 Genehmigungsbedürftigkeit......... 15 Gesetz gegen Wettbewerbsbeschränkung ..................................... 80 Gewerbeamt ........................................ 74 Gewerbeaufsicht .............................. 120 Gewerberegister ................................ 74 Gewerbeuntersagung .................... 120 Google Spain ...................................... 19 Grundversorgung .............................. 80 H HeartBleed ........................................... 28 Herausgabe ....................................... 116 höchstpersönlicher Lebensbereich ................................................. 113 I informationelles Selbstbestimmungsrecht ................ 50 informierte Einwilligung ............... 137 Innenministerkonferenz .................. 54 internationaler Datenverkehr ....... 12 Internet der Dinge ................ 172, 173 J Justizvollzug ........................................ 43 K Löschkonzept ...................................... 73 Luftfahrtbehörde ............................. 110 M Medientag ............................................ 93 Meldebehörde .................................... 66 Melderegister..................... 66, 98, 139 Melderegisterauskunft .................... 65 Meldewesen ........................................ 65 Meldung ............................................... 23 Mieterdaten ......................................... 80 Mietrechtsänderungsgesetz ......... 69 mobile Endgeräte .............................. 57 N Netzwerkkamera.............................. 106 O Offenbarungsbefugnis .................... 63 Öffentlichkeit ...................................... 75 öffentlich-rechtliche Religionsgesellschaften .................. 66 Offizin................................................... 121 One-Stop-Shop-Mechanismus .... 18 OpenSSL................................................ 28 Ordnungswidrigkeit ............. 101, 120 Ordnungswidrigkeiten .................... 70 Ordnungswidrigkeitengesetz ....... 73 Ordnungswidrigkeitenverfahren101 Orientierungshilfe Soziale Netzwerke .......................................... 156 OWIASSISTENT................................... 72 Katasterverwaltung ......................... 145 Kaufhausdetektiv ............................. 117 Kennzeichenerfassung .......... 51, 127 Kernbereich.......................................... 41 Kfz-Kennzeichen .............................. 127 Kommunalwahlgesetz ..................... 77 Kommunalwahlordnung .......... 77, 79 Konferenz der Informationsfreiheitsbeauftragten ..................... 152 Kontaktperson .................................... 53 Kontrollmitteilungen ........................ 64 Konzernprivileg ................................ 134 Krankenhausinformationssystem .......................................... 92, 157 Krebsregister ................................ 88, 89 Kreisrechtsausschuss........................ 75 KRISTAL ................................................. 58 Kunden ................................................ 134 Kundendaten....................................... 81 Kunsturhebergesetz ....................... 113 Parkfläche ........................................... 126 Parkhaus ............................................. 127 Passwörter ............................................ 38 PC-Wahl ................................................ 78 Personalausweis ................................. 81 persönliche oder familiäre Tätigkeit .............................................. 116 Polizeigesetz ................................ 50, 55 Privacy-by-Default ............................ 18 Privacy-by-Design ............................. 18 Private Videoüberwachung ........... 23 Protokolldaten .................................... 53 Protokollierung .................................. 67 Protokollierungspflicht.................... 67 Protokollserver ................................... 53 L qualifizierter Mietspiegel ............... 69 Quellsystem ......................................... 54 Landeswahlordnung des Saarlandes ............................................ 79 Liegenschaftskataster .................... 145 Listendaten ........................................ 139 P Q R Recht auf Vergessen ........................ 19 192 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Rechtsextremismusdatei ................ 55 Richtlinie 95/46/EG ........................... 12 S Safe Harbor .......................................... 12 Schiedsverfahren ............................... 48 Schrankenanlage ............................. 126 Schuldnerverzeichnis ....................... 46 Schuldnerverzeichnissen ................ 44 Schülerworkshops ........................... 152 Schulworkshops ................................. 93 schutzwürdige Interessen ............ 139 schutzwürdiges Interesse ............. 136 Service-Center .................................... 61 Sitzungssaal ......................................... 75 Smartphones ....................................... 70 Soziale Netzwerke ........................... 153 Sparkasse .............................................. 81 Speicherdauer ..................................... 43 Staatsanwaltschaft .......................... 150 Staatsvertrag ....................................... 61 Standardvertragsklauseln .............. 13 Steuergeheimnis ......................... 61, 63 Strafantrag ......................................... 150 Strafprozessordnung ................ 55, 73 Strafverfolgungsbehörden .......... 118 Strafvollzugsgesetz ........................... 43 Stromsperren ...................................... 84 Suchmaschinen .................................. 19 T Tanzfläche .......................................... 125 technisch-organisatorische Maßnahmen ........................................ 67 Theke .................................................... 125 V verbindliche Unternehmensrichtlinien .............................................. 15 Verbunddatei ...................................... 52 Vergabeplattform .............................. 80 Verhaltens- oder Leistungskontrolle ................................................ 71 Verhältnismäßigkeit ....................... 133 Verkaufsraum .......................... 117, 121 Verkehrsdatenspeicherung ........... 21 Verkehrsgutachter .......................... 141 Veröffentlichung von Bekanntmachungen im Internet . 77 Versammlung............................... 55, 56 Versammlungsgesetz ...................... 55 Verschlüsselung ................... 26, 27, 28 Vertrieb................................................ 134 Verwarn- und Bußgeldverfahren. 72 Videoscrambler .................................. 55 Videoüberwachungsanlagen ........ 43 Vollstreckungsgericht ............... 44, 46 Vollstreckungsportal ........................ 44 Vorabkontrolle ................................. 126 Vorratsdatenspeicherung .............. 21 W Wahlgeheimnis .................................. 78 Wahlstatistik ........................................ 78 Wahlstatistikgesetz ........................... 78 Webbrowser ................................. 36, 38 Werbezwecke .................................... 137 Werbung und Adresshandel ....... 157 Wildkameras...................................... 152 WiNOWig ............................................. 73 www.youngdata.de ........................... 94 U Übergriffe ............................................. 98 Überwachung.................................... 106 unbemannte Luftfahrtsysteme ... 108 Universität des Saarlandes........... 107 Z Zwangsgeld ....................................... 119 Zwangsvollstreckung ....................... 44 Zwei-Stufen-Prüfung ....................... 15 193 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht 194 Unabhängiges Datenschutzzentrum Saarland, 25. Tätigkeitsbericht Telefon Telefax E-Mail Internet Fritz-Dobisch-Straße 12 66111 Saarbrücken 0681/94781 0 0681/94781 29 poststelle@datenschutz.saarland.de www.datenschutz.saarland.de www.informationsfreiheit.saarland.de
© Copyright 2024